Votre question

[Résolu] Attaque grave virus (+ rootkit ?)

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Août 2011 23:49:46

Bonjour,

Mon PC (sous XP Pro) est victime d'une attaque de virus (et rootkit ?) que je ne parviens pas à éradiquer. Jusqu'à présent, j'ai toujours pu me débarrasser des virus quitte à réinstaller certaines applications mais là, je sèche depuis 2 jours.
J'ai bêtement installé un petit outil téléchargé sans le passer à l'antivirus avant. Dès que mon pare-feu Online Armor m'a signalé quelque chose de suspect, j'ai lancé un scan complet avec mon antivirus (Avira Antivir) qui m'a détecté un cocktail sal***ries :
TR/Dldr.Renos.GK (et .GN .GS .PI)
W32/PatchLoad.A
TR/Kazy.11879.3
TR/Gendal.kdv.24
TR/Gendal.6104246
TR/ATRAPS.Gen2
TR/Spy.53472.4

Le rapport d'Antivir indique aussi qu'il n'a pas pu ouvrir certains exe : CCleaner.exe, HijackThis.exe, oacat.exe et oasrv.exe (deux exe d'Online Armor) et SpybotSD.exe.

A partir là tout a commencé à mal fonctionner.

J'ai voulu redémarrer le PC, erreur fatale. Je me suis retrouvé avec un clavier qui ne fonctionnait plus : j'avais beau appuyer sur les touches, aucun caractère ne s'affichait. Impossible de saisir mon mot de passe sur la session admin. J'ai récupéré la situation en mode sans échec quand je me suis aperçu que mon driver avait été remplacé. Il m'a suffi d'écraser le faux driver par le fichier correct. J'ai remis aussi les drivers de mes lecteurs DVD qui avaient subi le même sort. Ca pourra peut-être servir à quelqu'un...

Les exe qui n'ont pas pu être ouverts par Antivir ont en fait été remplacés par un programme de type DOS (il en a toute l'apparence, vu les onglets présents dans sa fenêtre Propriétés), et là où c'est vicieux, sans changer la taille du programme d'origine ni les dates de création et modification. Quand j'essaie de supprimer l'un de ces programmes, j'obtiens le message "Accès refusé".

Voici ce que j'ai tenté.

Désinstallation et réinstallation de Antivir --> Guard est aussitôt inactivé. En y regardant de plus près, plusieurs exe sont remplacés par le programme "type DOS".

Utilisation plusieurs fois de HijackThis --> à chaque fois, le scan s'effectue mais le programme se ferme à la fin et est remplacé par "type DOS".

Téléchargement et utilisation de Gmer --> pas de rootkit détecté (pas de ligne rouge) et après le scan, au 1er clic dans Gmer, celui-ci se ferme et est remplacé par le programme "type DOS".

C'est comme si ce virus connaissait d'avance certains programmes et les remplace dès qu'ils sont activés (CCleaner, Antivir, Gmer, Online Armor, HijackThis) ou détecte les applications qui exécutent un certain type d'opération (connexion à Internet par exemple). J'ai pu le vérifier en lançant mon client de poker en ligne, il a tout de suite été remplacé par "type DOS" alors qu'un exe que j'ai développé moi-même en VB et qui n'effectue aucune connexion à Internet n'est pas touché.

Je n'ose plus rien faire sur mon PC. D'ailleurs je poste ce message depuis un autre ordi. J'espère qu'une âme charitable pourra me donner un coup de main pour me sortir de ce guêpier.

Merci d'avance pour toute l'aide que vous pourrez m'apporter.

Autres pages sur : attaque grave virus rootkit

a c 614 8 Sécurité
9 Août 2011 14:33:45

Bonjour,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Note : si tu ne peux télécharger du pc infecté, fais-le d'un pc fonctionnel et transfère les outils via clé usb sur le pc bloqué, et inversement pour les rapports

    Télécharge RstAssociations (de Xplode ) sur ton bureau.

  • Double-clique sur le fichier pour le lancer.
  • Coche les cases "exe" et "com"
  • Clique sur "Restaurer"

  • Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse

    Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"

  • Ferme l'outil.


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.com pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    9 Août 2011 16:48:16

    Bonjour hyunkel30,

    Merci de prendre en charge mon problème.

    J'ai exécuté les procédures demandées. Voici le rapport de RstAssociations :

    Citation :
    RstAssociations v1.3 - Rapport créé le 09/08/2011 à 15:58
    Mis à jour le 26/05/11 à 16h par Xplode
    Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    Nom d'utilisateur : Jean-Phi - JEYADY (Administrateur)
    Exécuté depuis : C:\Documents and Settings\Jean-Phi\Bureau\rstassociations.scr

    ¤¤¤¤¤ Restauration ¤¤¤¤¤

    -> com ... association de fichiers restaurée !
    -> exe ... association de fichiers restaurée !

    ¤¤¤¤¤ Résultats ¤¤¤¤¤¤

    -> [2 association(s) de fichiers restaurée(s) avec succès]
    -> [0 association(s) de fichiers non restaurée(s)]

    ########## EOF - "C:\RstAssociations.txt" - [706 octets] ##########



    En ce qui concerne OTL, j'ai exécuté la procédure jusqu'au clic sur le bouton Analyse. Immédiatement, OTL s'est fermé. J'ai quand même patienté 15 minutes au cas où ce fonctionnement serait normal mais rien ne s'est passé. J'imagine que OTL reste ouvert pendant le scan. Cela ressemble furieusement à ce qui se produit avec HijackThis (entre autre).

    Je n'ai rien fait d'autre.
    m
    0
    l
    Contenus similaires
    9 Août 2011 18:58:20

    Re,

    J'ai eu exactement le même comportement avec OTL.scr puis OTL.exe renommé en explorer.exe.
    A chaque fois, au clic sur Analyse, OTL se ferme puis plus rien.

    Juste pour ma compréhension, peux-tu me dire si, lors de l'analyse, OTL doit rester ouvert, STP ?

    m
    0
    l
    a c 614 8 Sécurité
    9 Août 2011 22:55:07

    Re,

    Oui il doit rester ouvert, donc c'est qui est killé par l'infection.


    On va faire autrement alors :

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    m
    0
    l
    10 Août 2011 01:32:00

    Merci d'avoir répondu à une heure aussi tardive.

    J'ai exécuté la première partie de la procédure, celle qui consiste à graver le livecd REATOGO-X-PE.

    Avant d'exécuter la procédure sur le PC infecté, je veux m'assurer d'une chose. Quand tu dis "clique le nom de la session de l'utilisateur du PC", est-ce utilisateur par opposition à administrateur ? Ce qui signifierait qu'il ne faut pas choisir une session administrateur (pour des raisons de niveaux de privilèges par exemple).

    Je pose cette question parce que sur mon PC infecté, j'ai plusieurs comptes utilisateurs limités (une par membre de ma famille) et un compte administrateur que j'utilise comme session personnelle.

    En résumé, puis-je choisir ma session admin ou non ?
    m
    0
    l
    a c 614 8 Sécurité
    10 Août 2011 13:32:47

    Re,

    Oui plutôt ta session admin, mais l'outil vérifiera toutes les sessions de toutes manière ;) 
    m
    0
    l
    11 Août 2011 00:51:47

    Bonsoir,

    Voici le rapport d'OTLPE que j'ai déposé sur cijoint.fr --> OTL.txt

    m
    0
    l
    a c 614 8 Sécurité
    11 Août 2011 10:01:37

    Re,

    Mhmhm rien de concluant, on va quand même virer des trucs :


  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
    IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
    IE - HKU\Jean-Phi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page_bak = http://lookfor.cc/sp.php?pin=28129
    IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
    IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
    IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
    IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
    [2011/02/18 15:35:26 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    O3 - HKU\Jean-Phi_ON_C\..\Toolbar\ShellBrowser: (no name) - {3523D582-311F-474A-A0F8-DAE161D91E88} - No CLSID value found.
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: user32.dll = C:\Program Files\Video ActiveX Access\iesmn.exe
    O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
    [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp -> ]
    [1 C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp -> ]
    [1 C:\*.tmp files -> C:\*.tmp -> ]
    [2011/08/07 17:48:50 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\kl1o0gng.exe
    [2011/08/07 17:37:34 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\oqg6cq1y.exe
    [2010/11/20 12:40:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jean-Phi\Application Data\OfferBox
    [2010/11/20 06:58:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Yohann\Application Data\OfferBox
    @Alternate Data Stream - 132 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:67DF79FC
    @Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:44DAF2F1

    :Files
    C:\WINDOWS\system\lsass.exe
    C:\WINDOWS\system\services.exe

    :Commands
    [emptytemp]
    [emptyflash]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    -----------------

    Repasse en mode normal puis essaye ceci :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    m
    0
    l
    12 Août 2011 00:44:56

    Salut,

    Rapport de suppression OTL ---> 08122011_005655.log

    Pour TDSSKiller :
    hyunkel30 a dit :
  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.

  • Je n'ai rien eu de tout ça. J'ai eu le rapport suivant :

    Malicious objects / Rootkit.Win32.ZAccess.e sur le fichier "C:\WINDOWS\System32\drivers\afd.sys" avec l'option par défaut Cure que j'ai laissée. J'espère ne pas avoir fait de bêtise :??: 
    J'ai lu l'indication "will be cured after reboot" mais je ne sais plus où exactement. J'ai cliqué sur "Reboot now".

    Rapport de suppression TDSSKiller ---> TDSSKiller_log.txt

    Au fait, une chose que je voulais te signaler : depuis l'attaque, Windows ne se ferme plus. Quand je choisis "Arrêter l'ordinateur", ma session se ferme bien, j'ai les messages "Déconnexion" puis "Fermeture de Windows" et ça s'arrête là. Je suis obligé d'éteindre l'ordi manuellement. C'est anecdotique mais je voulais t'en faire part.

    m
    0
    l
    a c 614 8 Sécurité
    12 Août 2011 10:45:14

    Re,

    Ouais il a tenté d ele corriger, c'est bien.

    Le souci c'est que tu as des fichiers système "patché", c'est à dire détourné par l'infection, c'est délicat. (et surement de là que viens le souci de fermeture de windows)

    Repasse TDSSkiller et regarde s'il détecte à nouveau quelque chose.

    Puis fais ceci :

    Télécharge DrWeb CureIt :

  • Double-clique sur "Launch.exe" pour le lancer.
    (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
  • Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
    (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
  • Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
    (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
  • Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
  • Ferme le programme.

    Note : si rien n'est détecté lors du scan rapide, indique-le nous.
    Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"

    m
    0
    l
    14 Août 2011 20:07:43

    Salut hyunkel30,

    Désolé pour cette réponse tardive, je n'ai pas eu le temps de travailler sur mon problème ces derniers jours.


    J'ai repassé TDSSKiller mais il s'est fermé assez rapidement en cours de scan (killé par l'infection).

    J'ai lancé DrWeb CureIt mais après avoir cliqué sur "Commencer le scan", j'ai eu une une erreur du programme bec14_xp.exe : "L'instruction à "0x00462205" emploie l'adresse mémoire "0x3568f42d". La mémoire ne peut pas être "read".
    Puis une fenêtre m'a indiqué que des virus ont été détectés (un seul bouton possible : Ok). J'ai cliqué sur Ok et CureIt s'est fermé.
    Launch.exe ne semble pas killé par l'infection.

    Dois-je essayer de relancer Launch.exe ?
    m
    0
    l
    a c 614 8 Sécurité
    14 Août 2011 22:12:09

    Re,

    Non, on va passer par la version liveCD de cet outil aussi :

    Télécharge DrWeb CureIt LiveCD :

  • C'est une image ISO à graver sur un autre PC pour obtenir un LiveCD.
  • Utilise un logiciel de gravure, et choisi "graver une image disque" ou équivalent.
    (Si tu ne possèdes pas de logiciel faisant ceci, utilise celui-là)

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.

  • Au lancement, un menu va apparaitre, choisi "DrWeb-LiveCD"
  • Tu arriveras sur une interface graphique semblable à un bureau
  • Double-clique sur "Dr.Web Scanner"
  • Clique sur l'icône en forme de boule verte pour mettre à jour la base de définition.

    (Si ta connexion n'est pas accessible, passe cette étape)

  • Une fois cela fait, clique sur le bouton " |> Start"
  • Laisse le scan s'effectuer.
  • Lorsque le scan est fini, choisi : Select All Puis Cure
  • Ferme le programme.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
    m
    0
    l
    21 Août 2011 17:20:19

    Salut,

    Me revoici enfin. Le scan a pris beaucoup de temps : 89 heures.

    J'ai l'impression que j'ai eu une nouvelle version de DrWeb LiveCD par rapport à celle que tu connaissais car je n'ai pas la même interface que celle que tu décris. Une petite remarque au passage, c'est une version qui tourne sous Linux.
    Il y a une fenêtre unique avec des options : Control Center, Scanner, Quarantine, etc. Dans l'option Scanner, pas de bouton Start mais Begin Scan et pour finir, pas de bouton Select All (la sélection s'effectue à la souris).
    Si ça a duré aussi longtemps, c'est qu'il me semble qu'il a scanné mes deux partitions deux fois. Pour C:, par exemple, elle a été scannée une première fois sous le nom "/mnt/disk/hda1" et une deuxième fois sous le nom "/win/C:".

    Voici ce qui a été trouvé par DrWeb et les actions effectuées :
  • Trojan.Starter.1695 ---> cured
  • BackDoor.Siggen.33502 ---> deleted
  • Trojan.Inject.51883 ---> deleted
  • Trojan.NtRootKit.11604 ---> deleted

    J'ai ensuite fermé le programme comme convenu.
    m
    0
    l
    a c 614 8 Sécurité
    21 Août 2011 19:07:20

    Bonsoir,

    Merci pour le retour, je testerais pour mettre à jour la procédure.


    Redémarre ton pc normalement à présent.

    Supprime l'ancienne version de TDSSkiller.exe puis refait cette procédure :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    m
    0
    l
    27 Août 2011 17:35:12

    Salut hyunkel30,

    Je n'ai pas pu supprimer l'ancienne version de TDSSkiller.exe directement car j'avais un message "Impossible de supprimer : Accès refusé". J'ai redémarré en invite de commande en mode sans échec pour pouvoir le supprimer. Pour mémoire, cette ancienne version de TDSSkiller.exe avait été remplacée le programme de type DOS dont je t'avais parlé.

    TDSSKiller n'a trouvé qu'une menace ; elle est de type "Suspicious object / Hidden file". J'ai laissé sur Skip comme demandé.

    Voici le rapport TDSSKiller ---> TDSSKiller.2.5.17.0_27.08.2011_17.09.39_log.txt
    m
    0
    l
    a c 614 8 Sécurité
    27 Août 2011 18:24:38

    Re,

    Ok il a trouvé la variante, faut mettre sur Cure pour le "Suspicious object"

    Refais le scan et fais-le.

    S'il demande à redémarrer le pc, accepte en cliquant sur "Reboot now"

    Poste le rapport obtenu après redémarrage, il se trouve ici :

    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt (prend la bonne date/heure)
    m
    0
    l
    29 Août 2011 21:36:45

    Salut,

    Les options autres que Skip sont Copy to quarantine et Delete. Cure n'est pas proposé.

    Vu le nom de cet exe, je pense que je peux choisir Delete sans trop m'inquiéter ; ce programme ne risque pas de me manquer !

    Qu'en penses-tu ?
    m
    0
    l
    a c 614 8 Sécurité
    29 Août 2011 22:24:32

    Re,

    Exact, tu peux mettre Delete direct ;) 

    m
    0
    l
    a c 614 8 Sécurité
    30 Août 2011 14:18:43

    Re,

    Bien, pour suivre :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    31 Août 2011 10:03:03

    Salut,

    Il y a une conséquence gênante de l'infection : je n'arrive pas à réactiver ma connexion Internet (l'allocation d'adresse IP n'aboutit pas). Je télécharge à partir d'un autre ordi et j'utilise une clé USB pour passer sur l'ordi infecté. Donc je ne vais pas pouvoir faire la mise à jour de la base de définition de MBAM sauf si je répare ma connexion avant.

    A tout hasard, je te pose la question : l'impossibilité de réactiver ma connexion peut-elle provenir de l'absence de netbt.sys qui était l'un des fichiers supprimés par Dr Web (infecté par Trojan.NtRootKit.11604) ?

    m
    0
    l
    2 Septembre 2011 18:42:15

    Salut,

    L'examen n'a duré que 2 h 12 (c'est rien par rapport au 89 h 30 de Dr Web LiveCD !) et a trouvé 24 éléments infectés.

    Voici le rapport de mbam ---> mbam-log-2011-09-02 (18-21-02).txt

    Deux points diffèrent par rapport à ta procédure :
    - dans la fenêtre de sélection des disques durs, le bouton se nomme Rechercher et non pas Lancer l'examen
    - la vérification des éléments trouvés s'effectue via le bouton Afficher les résultats et non Résultats de l'examen
    m
    0
    l
    a c 614 8 Sécurité
    2 Septembre 2011 19:38:25

    Re,

    Ton pc a-t-il retrouver sa connectivité internet ?

    Si non, essaye ceci :
    Démarrer -> exécuter -> tape exactement :
    Citation :
    netsh winsock reset catalog


    Valide avec "Ok" et redémarre le pc pour voir.
    m
    0
    l
    3 Septembre 2011 17:23:34

    Quand j'active la connexion, la fenêtre m'indique que la connexion est activée mais elle reste en permanence à l'état "Lecture de l'adresse réseau".
    C'est pareil après avoir exécuté "netsh winsock reset catalog" et redémarré.
    m
    0
    l
    a c 614 8 Sécurité
    3 Septembre 2011 18:39:49

    Re,

    Tu es connecté à une box en wi-fi ?

    As-tu pensé à rebooter la box pour voir ?

    Vérifie aussi que le code d'accés (clé WEP/WAP) est toujours valide sur ton pc :
    Clic-droit sur la connexion -> propriétés
    Et encore "propriétés" dans la nouvelle fenêtre.
    m
    0
    l
    4 Septembre 2011 10:11:04

    Je suis connecté à une box par câble RJ45 et j'avais pensé à rebooter la box avant. De toute façon, la box fonctionne correctement pour ma télé (connexion par CPL) et pour mon autre ordi (connexion Wifi, clé WEP ok).
    J'ai lu sur un forum que l'antivirus pouvait tout bloquer. Comme le mien est dans un état instable car il a été infecté (puis désinfecté par Dr Web), je me demande s'il ne faudrait pas que je le désinstalle et réinstalle complètement.

    A tout hasard, voici ce que donne ipconfig :
    Carte Ethernet Connexion au réseau local 2:

    Suffixe DNS propre à la connexion :
    Adresse IP. . . . . . . . . . . . : 0.0.0.0
    Masque de sous-réseau . . . . . . : 0.0.0.0
    Passerelle par défaut . . . . . . :
    m
    0
    l
    a c 614 8 Sécurité
    4 Septembre 2011 11:24:24

    Re,

    Ok si par cable réseau, déjà cela résout le souci de la box et des clé d'accès.

    Oui pour ton antivirus, désinstalle-le.
    De la même manière, supprime Online Armor pour le moment.

    Regarde s'il y a du mieux.

    L'ipconfig est sur la carte réseau que tu utilises c'est sur ?
    Citation :
    Carte Ethernet Connexion au réseau local 2:


    Tu n'as pas une sans numéro ?

    Pour voir, télécharge et exécute ceci :
    http://dl.free.fr/bDQ4IN27b

    Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.

    m
    0
    l
    4 Septembre 2011 18:35:28

    Salut,

    Merci de me répondre même un dimanche ! :) 
    Mais quand on est passionné... (je suis modérateur d'un forum et je fais pareil ;) )

    La désinstallation d'Antivir + redémarrage n'a rien changé. Idem après désinstallation d'Online Armor.

    J'ai deux connexions réseau :
  • Connexion au réseau local : Marvell Yukon PCI Gigabit Ethernet Controller
  • Connexion au réseau local 2 : NVIDIA nForce Networking Controller

    J'ai toujours utilisé la connexion NVIDIA nForce car c'est sur le port correspondant que je branche mon câble RJ45. J'ai fait un essai en le branchant sur le port de la connexion Marvell Yukon mais le résultat est le même. Dans les deux cas, l'état reste en permanence à "Lecture de l'adresse réseau" et l'onglet support de la fenêtre de statut donne "Adresse IP non valide" avec les mêmes valeurs que l'ipconfig (0.0.0.0).

    J'ai exécuté le ping.bat. Un ping.txt a bien été créé sous C:\ (mais ne s'est pas ouvert) et son contenu est vide.
    m
    0
    l
    a c 614 8 Sécurité
    4 Septembre 2011 18:54:43

    Re,

    Bah oui les bénévoles, c'est connu, ça bosse en dehors des heures de boulot :lol: 

    Citation :
    J'ai toujours utilisé la connexion NVIDIA nForce car c'est sur le port correspondant que je branche mon câble RJ45. J'ai fait un essai en le branchant sur le port de la connexion Marvell Yukon mais le résultat est le même. Dans les deux cas, l'état reste en permanence à "Lecture de l'adresse réseau" et l'onglet support de la fenêtre de statut donne "Adresse IP non valide" avec les mêmes valeurs que l'ipconfig (0.0.0.0).


    ça semble vouloir dire qu'il n'arrive pas à obtenir les info de connexion du routeur (de la box quoi)

    Question bête, mais bon parfois ...
    T'aurais pas un autre cable réseau pour tester que ce ne soit pas le câble ?
    De même si tu as plusieurs port réseau sur ta box, teste sur un autre.

    Refait un ipconfig, mais cette fois-ci tape ceci :

    Citation :
    ipconfig /all


    Copie-colle moi le résultat dans ta prochaine réponse ;) 
    m
    0
    l
    8 Septembre 2011 19:18:04

    Re,

    J'ai changé de câble ; je l'ai branché plusieurs fois alternativement sur l'une ou l'autre de mes cartes réseau tout en changeant de port sur la box. Rien n'y fait, il y a toujours le même problème. Je penche pour un problème logiciel et non pas matériel. Tu te souviens qu'un fichier avait été supprimé par Dr Web (netbt.sys) ? Ca peut peut-être venir de là...

    Une réparation des fonctionnalités réseau à partir de mon CD Windows XP pourrait peut-être résoudre le problème :??:  .

    En attendant, voici le résultat de l'ipconfig.

    Configuration IP de Windows
    Nom de l'hôte . . . . . . . . . . : jeyady
    Suffixe DNS principal . . . . . . :
    Type de noeud . . . . . . . . . . : Inconnu
    Routage IP activé . . . . . . . . : Non
    Proxy WINS activé . . . . . . . . : Non

    Carte Ethernet Connexion au réseau local:
    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
    Adresse physique . . . . . . . . .: 00-0E-A6-2B-DD-86
    DHCP activé. . . . . . . . . . . : Oui
    Configuration automatique activée . . . . : Oui
    Adresse IP. . . . . . . . . . . . : 0.0.0.0
    Masque de sous-réseau . . . . . . : 0.0.0.0
    Passerelle par défaut . . . . . . :
    Serveur DHCP. . . . . . . . . . . : 255.255.255.255
    NetBIOS sur TCPIP. . . . . . . . : Désactivé

    Carte Ethernet Connexion au réseau local 2:
    Statut du média . . . . . . . . . : Média déconnecté
    Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
    Adresse physique . . . . . . . . .: 00-0E-A6-2B-E9-38

    m
    0
    l
    a c 614 8 Sécurité
    8 Septembre 2011 20:03:52

    Re,

    Normalement ce n'est pas un driver essentiel, mais regardons on ne sait jamais.

    Le cd de XP est bien un original ?

    Si oui, fais ceci :

    Démarrer -> exécuter

    Tape exactement :

    Citation :
    sfc /scannow


    Puis valide avec le touche entrée

    Si l'opération demande à insérer le cd Windows, fais-le.

    m
    0
    l
    9 Septembre 2011 14:02:53

    Salut,

    Mon CD est bien un original (XP Pro SP2).
    J'ai lancé la commande. Le CD m'a été demandé.
    Après l'exécution (qui a demandé... un certain temps) j'ai redémarré mais ça ne change rien.
    m
    0
    l
    a c 614 8 Sécurité
    9 Septembre 2011 19:47:25

    Re,

    Alors va peut-être falloir tester la réparation :

    (tu conserves tes documents, faudra juste réinstaller les mises à jour Windows, dont le SP3, par précaution, sauvegarde quand même l'essentiel)

    http://www.commentcamarche.net/faq/3427-reparer-windows...

    Attention de bien d'abord choisir l'option "Installer" PUIS "réparer"
    m
    0
    l
    15 Septembre 2011 18:22:57

    Salut,

    Ca a fonctionné.
    J'ai retrouvé ma connexion internet et je n'ai perdu, a priori, aucune donnée personnelle (que j'avais, de toute façon, sauvegardées).
    Peut-on considérer que mon PC est désinfecté maintenant ou bien faut-il effectuer des vérifications ?
    m
    0
    l
    a c 614 8 Sécurité
    15 Septembre 2011 19:22:03

    Bonsoir,

    Normalement il été désinfecté déjà donc non ça devrait aller.

    Tu pourras réinstaller Antivir et Online Armor si ce n'est pas déjà fait, puis faire un scan complet avec le premier.

    Si tout est ok sur le scan, on fera le ménage des outils.

    [:_tom_:7]
    m
    0
    l
    17 Septembre 2011 11:41:26

    Salut hyunkel30,


    J'ai réinstallé Antivir et Online Armor. Le scan complet a détecté 3 fichiers infectés dont l'un doit être, à mon avis, un faux positif. Le fichier soit-disant infecté est un désinfecteur du virus Stinger ! Pour les deux autres, je ne sais pas. Dans le doute, j'ai mis les 3 fichiers en quarantaine.

    Il semble donc que tout soit ok maintenant.

    m
    0
    l
    a c 614 8 Sécurité
    17 Septembre 2011 14:27:47

    Re,

    Il me faudrait le rapport d'Antivir s'il te plait.

    (dans antivir -> aperçu -> rapport)
    m
    0
    l
    a c 614 8 Sécurité
    22 Septembre 2011 10:19:29

    Bonjour,

    Citation :
    C:\Program Files\FCEUltra\fceux.exe
    [RESULTAT] Contient le cheval de Troie TR/Kazy.33257
    Recherche débutant dans 'D:\' <SAUVEGARDE>
    D:\_Original\_Emulateurs\Nintendo\FCE_Ultra\FCE_Ultra_V2.12_win_Fr.zip
    [0] Type d'archive: ZIP
    --> fceux.exe
    [RESULTAT] Contient le cheval de Troie TR/Kazy.33257


    Cela pourrait être l'origine de ton infection ...
    Où simplement un fichier patché par l'infection.

    Pour l'autre possible que ce soit l'encryptage du fichier qui fasse réagir ... de toute manière ce genre d'outil doit être supprimé une fois utilisé ...

    Met à jour immédiatement ton système vers le service pack3 et fais l'ensemble des mises à jour.
    http://update.microsoft.com/microsoftupdate/v6/default....
    m
    0
    l
    23 Septembre 2011 14:37:34

    hyunkel30 a dit :

    Cela pourrait être l'origine de ton infection ...
    Où simplement un fichier patché par l'infection.

    C'est effectivement un fichier patché par l'infection car ce fichier est présent sur mon disque depuis plusieurs années. J'ai supprimé l'application correspondante.

    hyunkel30 a dit :

    Pour l'autre possible que ce soit l'encryptage du fichier qui fasse réagir ... de toute manière ce genre d'outil doit être supprimé une fois utilisé ...

    Ok. Supprimé ainsi que tous les fix du même genre (Sasser, Blast, Jeefo and Co.)

    hyunkel30 a dit :

    Met à jour immédiatement ton système vers le service pack3 et fais l'ensemble des mises à jour.

    C'était déjà fait quand je t'ai répondu mais le scan date d'avant la mise à jour SP3 car c'est la première chose que j'ai effectuée après l'installation/réparation de Win XP.

    Je devrais peut-être repasser un scan complet maintenant, non ?
    m
    0
    l
    a c 614 8 Sécurité
    23 Septembre 2011 15:18:33

    Re,

    Si tu veux, mais cela devrait être bon.
    m
    0
    l
    25 Septembre 2011 00:25:42

    C'est ok. Plus de virus.
    Tu m'avais parlé de faire le ménage des outils.

    m
    0
    l
    a c 614 8 Sécurité
    25 Septembre 2011 11:27:12

    Re,

    On y va oui.

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime le fichier RstAssociations.scr

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    m
    0
    l
    5 Octobre 2011 23:42:40

    Bonjour hyunkel30,

    Désolé pour le retard de cette réponse. Je viens juste de faire la purge d'outils avec OTL.
    Merci infiniment pour ton aide, ton opiniâtreté et ta patience à mon égard.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS