| [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared | |
|
|
Auteur | Message |
---|
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 18 Déc 2009 - 22:08 | |
| Bonjour à vous Héros des temps modernes...
Je reviens tout petit vers vous pour solliciter de nouveau de l'aide, l'ordinateur portable toshiba de mon amie est encore victime de... "quelque chose". Une alerte windows s'est d'un seul coup mis en branle, le sujet était que qu'un risque fort avait été détecté et qu'il était urgent d'installer l'antivirus de windows proposé sur le meme tableau ou l'on active le pare feu, je n'ai pas voulu suivre ce conseil dans un premier temps étant donné que j'avais déja antivir, mais le pobleme a persisté, ah oui le problème est que l'ordinateur après s'être lancé normalement se bloque completement au bout de 30 secondes (environ). j'ai tenté de lancé une restauration systeme en mode sans echec mais apres avoir selection un point de restauration, l'application ne se lance tout simplement pas. J'ai installé a-squared et fait un scan complet, mais ca n'a rien arrangé, la restauration refuse toujours de se lancer.
Merci d'avance, voici le scan de a-squred:
Version - a-squared Anti-Malware 4.5 Dernière mise à jour : 18/12/2009 20:04:54
Paramètres des balayages :
Type de balayage : N/A Objets : Mémoire, Traces, Cookies, C:\, E:\ Balayage dans les archives : Marche Analyse heuristique : Arrêt Balayage dans les ADS : Marche
Début du balayage : 18/12/2009 20:05:20
\\?\globalroot\systemroot\system32\H8SRTehtitlwhky.dll Objets détectés : Packed.Win32.Tdss!IK c:\microgaming Objets détectés : Trace.Directory.Ruby Fortune Casino!A2 Value: HKEY_CURRENT_USER\Software\Grand Virtual --> XD3C Objets détectés : Trace.Registry.Casino Treasure!A2 c:\documents and settings\all users\menu démarrer\programmes\everest poker\ Objets détectés : Trace.Directory.EverestPoker!A2 c:\documents and settings\all users\menu démarrer\programmes\everest poker\everest poker.lnk Objets détectés : Trace.File.EverestPoker!A2 c:\documents and settings\all users\menu démarrer\programmes\everest poker\uninstall everest poker.lnk Objets détectés : Trace.File.EverestPoker!A2 Key: HKEY_CURRENT_USER\software\Grand Virtual Objets détectés : Trace.Registry.EverestPoker!A2 c:\program files\antimalware\malw.db Objets détectés : Trace.File.AntiMalware!A2 Key: HKEY_LOCAL_MACHINE\software\AntiMalware Objets détectés : Trace.Registry.AntiMalware!A2 Key: HKEY_CURRENT_USER\software\MGS\Thumper\Casino Objets détectés : Trace.Registry.CasinoAction!A2 c:\program files\divx\divx pro codec\license.txt Objets détectés : Trace.File.DivX 5.0.3 Pro Bundle!A2 c:\program files\divx\divx pro codec\readme.txt Objets détectés : Trace.File.DivX 5.0.3 Pro Bundle!A2 Key: HKEY_CLASSES_ROOT\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Key: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> gef Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> gmg Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> uets Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Key: HKEY_LOCAL_MACHINE\software\gator.com Objets détectés : Trace.Registry.Claria.CommonComponents!A2 Key: HKEY_LOCAL_MACHINE\software\gator.com\gator Objets détectés : Trace.Registry.Claria.WebSecureAlert!A2 Value: HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn --> PdpFirstStart Objets détectés : Trace.Registry.Gator.com Trickler!A2 Value: HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat --> Guid Objets détectés : Trace.Registry.Gator.com Trickler!A2 Key: HKEY_LOCAL_MACHINE\software\gator.com\gator\dyn Objets détectés : Trace.Registry.Gator!A2 C:\Documents and Settings\Elise\Bureau\bilou\pkrinstall.exe/pkr.exe Objets détectés : Riskware.Monitor.Win32.PKRPoker!IK C:\Documents and Settings\Elise\Local Settings\Temp\clspackxq.exe Objets détectés : Packed.Win32.Tdss!IK C:\Documents and Settings\Elise\Local Settings\Temp\Installer.exe Objets détectés : Packed.Win32.Tdss!IK C:\Documents and Settings\Elise\Local Settings\Temp\wscsvc32.exe Objets détectés : Packed.Win32.Tdss!IK C:\Documents and Settings\Elise\Mes documents\HP Tournament Clock\HP Installer.exe Objets détectés : Virus.Win32.Agent.BPB!IK C:\Documents and Settings\Elise\Mes documents\hp-tournament-clock.zip/HP Installer.exe Objets détectés : Virus.Win32.Agent.BPB!IK
Analysé
Fichiers : 140054 Traces : 424054 Cookies : 7 Processus : 15
Objets trouvés
Fichiers : 13 Traces : 21 Cookies : 0 Processus : 0 Clés de Registre : 0
Fin du balayage : 18/12/2009 21:27:31 Temps du balayage : 1:22:11 | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 18 Déc 2009 - 22:23 | |
| voici le rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:19:45, on 18/12/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Safe mode with network support
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Elise\Mes documents\HiJackThis.exe C:\Program Files\Internet Explorer\Iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.mg40.mail.yahoo.com/dc/launch?.rand=bvq3jh9mi6ijk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60 O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453821 14 O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [clspackxq.exe] C:\DOCUME~1\Elise\LOCALS~1\Temp\clspackxq.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe (file missing) (HKCU) O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - https://upload.facebook.com/controls/FacebookPhotoUploader5.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} - http://www.pixdiscount.com/clients/uploader_v2.1.0.56.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
-- End of file - 7277 bytes
Merci d'avance | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Sam 19 Déc 2009 - 21:13 | |
| Salut.
Plusieurs choses ! /!\Attention, tout peut ne pas fonctionner. Suis les étapes dans l'ordre, si un outil ne passe pas, passe au suivant.
AD-Remover
Télécharge et enregistre le fichier d installation sur ton bureau : /// ---> AD-REMOVER DE C_XX<--- \\\
Ici, le ---Tuto d'installation--- si besoin.
Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )
Ouvre le dossier Ad-remover présent sur ton bureau
Double clique sur Ad-remover.bat.
Au menu principal choisi l'option "L" et tape sur [entrée] .
Laisse travailler l'outil et ne touche à rien ...
Poste le rapport qui apparait à la fin.
( le rapport est sauvegardé aussi sous C:\Ad-report.log )
(CTRL A Pour tout selectionner , CTRL C pour copier et CTRL V pour coller )
Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
======================
▶ Télécharge Malwarebytes Anti-Malware (MBAM): ///---> Malwarebytes Anti-Malware <---\\\
▶ Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
▶ Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
▶ Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
Poste le rapport généré. |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 20 Déc 2009 - 18:46 | |
| Bonjour ric025 et merci de me venir en aide. Voici déjà le rapport de ad-remover: . ======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 ======= . Mit à jour par C_XX le 20.12.2009 à 18:16 Contact: AdRemover.contact@gmail.com Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html . Lancé à: 18:21:10, 20/12/2009 | Mode sans echec | Option: CLEAN Exécuté de: C:\Program Files\Ad-Remover\ Système d'exploitation: Microsoft Windows XP Service Pack 2 v5.1.2600 Nom du PC: NOM-1FF766121D7 | Utilisateur actuel: Administrateur . ============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== . (!) -- Fichiers temporaires supprimés. . . ============== Scan additionnel ============== . . * Internet Explorer Version 7.0.5730.11 * . [HKEY_CURRENT_USER\..\Internet Explorer\Main] . Do404Search: 01000000 Local Page: C:\WINDOWS\system32\blank.htm Show_ToolBar: yes Start Page: hxxp://fr.msn.com/ Use Custom Search URL: 1 (0x1) Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 . [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main] . Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Delete_Temp_Files_On_Exit: yes Local Page: %SystemRoot%\system32\blank.htm Start Page: hxxp://fr.msn.com/ Search bar: hxxp://search.msn.com/spbasic.htm . [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS] . Tabs: res://ieframe.dll/tabswelcome.htm . ============== Suspect (Cracks, Serials, ...) ============== . C:\Documents and Settings\Elise\Application Data\BitTorrent\Windows XP Pro SP2 FR ISO + Serial + Crack + Remove WPA Notificiation.torrent . =================================== . 1910 Octet(s) - C:\Ad-Report-CLEAN[1].log . 0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 0 Fichier(s) - C:\WINDOWS\Temp 0 Fichier(s) - C:\WINDOWS\Prefetch . 17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP 0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE . Fin à: 18:41:27 | 20/12/2009 - CLEAN[1] . ============== E.O.F ============== . je me lance dans la suite du programme | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 20 Déc 2009 - 18:56 | |
| J'ai aujourd'hui une demande persistante pour l'activation du filtre anti-hameçonnage automatique de Microsoft. Avant de l'activer, j'aimerais connaitre un avis sur lui, je n'ai jamais rencontré cette proposition auparavant...
Merci | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 20 Déc 2009 - 20:11 | |
| bon ben, finalement MBAM refuse de se lancer, j'ai essayé de le désinstaller (vu qu'il était déja sur l'ordi) et même ca je n'ai pas réussi a le faire... | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 20 Déc 2009 - 23:48 | |
| Ok, c'est un peu ce que je craignais; N'installe rien pour l'instant. Fais juste ce que je te demande et utilise un minimum le pc pour l'instant.
/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\
/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\
Télécharge ComboFix (de sUBs) sur ton Bureau. Il est renommé et s'appelle ici lamagie.exe
https://sd-1.archive-host.com/membres/up/21362097671547645/lamagie.exe
* Double-clique sur lamagie.exe (le .exe n'est pas forcément visible) afin de le lancer. * Il va te demander d'installer la console de récupération : ACCEPTE ! * Ne touche pas au pc durant le scan. * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)
-->> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
++ |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 21 Déc 2009 - 15:58 | |
| Bonjour à toi ric025 et encore et toujours merci de m'aider... Bon j'ai deux nouvelles, une très bonne et une je sais pas trop si j'ai fait mon boulet..? La première est que j'ai executé combifix et que l'ordi refonctionne à premiere vue correctement ce qui est une très bonne nouvelle!!! La deuxième et c'est la que je ne sais pas trop ou je me situe. Après l'examen automatique de combofix, l'ordinateur a redémarré mais juste aprés avoir cliqué sur le compte utilisateur un écran bleu avec plein d'écriture est apparu avant que l'ordinateur ne redémarre aussitot. j'ai de nouveau cliqué sur le compte utilisateur et un message d'erreur sur le fond d'écran vierge est apparu: "windows ne trouve pas "C:\lamagie\res.bat" verifiez que vous avez entré le nom correctement et essayer de nouveau. Pour rechercher un fichier, cliquer sur le bouton démarrez, puis sur rechercher." Je crois que la manip de combofix ne s'est pas terminé et je n'ai pas de rapport. Du coup... je me demandais si le fait d'avoir lancé Combofix à partir du mode sans échec dans le compte utilisateur "administrateur" (compte auquel je n'ai accés que par le mode sans échec), vu que en lancant normalement xp je ne pouvais pour ainsi dire rien faire, n'a pas un petit peu perdu combofix, en tout cas le rapport n'existe pas non plus dans le compte administrateur!!! Sinon il y a aussi le fait que je n'ai pas pu désactiver antivir vu qu'il n'existait plus à ce moment là, il existe à nouveau d'ailleurs. J'attends tes instructions et laisse de côté l'ordinateur pour l'instant, je ne sais plus trop ou il en est même si tout à l'air de fonctionner. Merci à toi. ++ | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 21 Déc 2009 - 21:42 | |
| Salut.
Même à la racine de C:\, tu n'as rien ? Pas de combofix.txt ?
Pour résumer tu en es où ? Tu peux redémarrer en mode normal ?
Fais ceci stp :
Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur RSIT.exe.
Clique sur Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
A noter: Les rapports se trouvent également ici: C:\rsit.
Les rapports seront trop longs, il vaut mieux les héberger. Passe par ce site : http://www.cijoint.fr
++ |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mar 22 Déc 2009 - 7:21 | |
| Salut ric025
Je pars pour les fetes et reviens le 27 décembre, je ne vais pas avoir le temps d'executer ca avant.
Merci et au 27 si dieu le veut bien.
++ | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mar 22 Déc 2009 - 13:05 | |
| Salut.
Pas de soucis; On verra à ce moment-là.
Bon réveillon alors.
Bonnes fêtes. ++ |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 27 Déc 2009 - 20:08 | |
| Salut ric025 Me revoila, j'espere que tu as passer un bon réveillon et que tu ne m'as pas oublier . Pour répondre à ta première question je n'ai en effet pas le fichier "combofix.txt" à la racine de C:\, et oui je peux redémarrer en mode normal sans aucun souci apparant, comme si il n'y avait jamais eu de problèmes. Je n'ai toutefois pas encore tenté la restauration du système à une heure antérieure, je préfère attendre ton avis avant ça !!! Voici les deux rapports que tu m'as demandé: "info": http://www.cijoint.fr/cjlink.php?file=cj200912/cij6DDaDKm.txt et "log": http://www.cijoint.fr/cjlink.php?file=cj200912/cijWsRdTF0.txt Encore merci de m'aider. ++ | |
|
| |
arctarus Bibou de bronze
Nombre de messages : 2788 Age : 47 Localisation : vogue et vous surveille ! Humeur : content Date d'inscription : 14/05/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 28 Déc 2009 - 17:56 | |
| salut juste pour te demander de patienter car avec les fetes nos helpeurs sont absents excuse nous du désagrément et de merci de ta compréhension | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mar 29 Déc 2009 - 18:37 | |
| Salut arctarus (vive Goldo!!!). Pas de problème, y a pas d'urgence. Merci de prendre autant soin de nous | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 1 Jan 2010 - 21:02 | |
| Bonjour par ici Ric025 a demandé d'avancer un peu ton sujet (enfin si j'ai bien compris), alors si tu es d'accord, on va voir 2 ou 3 choses ensemble Déjà, n'essaie pas de lancer de restauration du système, cela réinstallerait tous les vilains que Combofix a supprimé. D'après le premier rapport que tu as posté (a-squared), il y a du bon et gros vilain. Etape 1Supprime Combofix.exe PUIS Télécharge Combofix sur ton bureau depuis un de ces deux liens http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe Ferme toutes tes fenêtres, désactive tes logiciels de sécurité. Double clique sur Combofix pour le lancer et suis les instructions à l'écran. Pendant qu'il travaillera, ne touche plus à rien. A priori il va redémarrer la machine, laisse le faire. A la fin, il te fournira un rapport dont j'aurai besoin, copie/colle son contenu ici svp. Une aide en image disponible ici Etape 2Clique ici pour télécharger Gmer sur ton bureau. - Ferme tous tes programmes et déconnecte toi d'internet.
- Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
- Décompresse le sur ton bureau et double clique sur Gmer.exe pour le lancer.
- Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware. Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All. Clique sur le bouton Scan. Laisse Gmer travailler et ne touche plus à ton ordinateur. Patiente car le scan peut être long. A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici. Quitte Gmer et réactive tes logiciels de sécurité. Attention à ne rien tenter par toi même !!Bonne soirée ( et bonne année ) | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mer 6 Jan 2010 - 22:35 | |
| Bonjour GrosBébé Merci de prendre le relais , j'ai bien pu effectuer combofix mais j'ai des petits souci avec gmer. Je l'ai lancé une premiere fois et il n'a pas réussi a terminer, ordinateur bloqué. La deuxieme fois avait l'air d'être la bonne mais l'ordinateur s'est relancé et je n'ai pas trace de rapport??? Voici le rapport de combofix, je vais tenter à nouveau GMER. http://www.cijoint.fr/cjlink.php?file=cj201001/cij4UXHmmO.txt | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mer 6 Jan 2010 - 23:46 | |
| Bonsoir Ok, maintenant reste à voir la suite. Avec la présence d'un rootkit sur le pc, il vaut mieux qu'on arrive à avoir quelque chose d'un anti rootkit. Si gmer ne veut pas se lancer (ce qui arrive de temps en temps), essaie RootRepeal. Télécharge RootRepeal en cliquant sur un des liens ci dessous et sauvegarde le sur ton bureau : Lien 1Lien 2- Double clique sur RootRepeal pour le lancer
Vista : clique droit sur l'icône > lancer en tant qu'administrateur
- Clique sur l'onglet Report (en bas)
- Clique sur le bouton scan
- coche :
*Drivers *Files *Processes *SSDT *Stealth Objects *Hidden Services *Shadow SSDT
- Clique sur le bouton OK.
- Fenêtre suivante, sélectionne tous tes lecteurs. Clique sur OK pour lancer le scan.
Patiente le temps du scan et ne touche plus à rien
- A la fin, clique sur le bouton Save Report et sauvegarde le sur le bureau.
Quitte le programme et poste le rapport. | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Jeu 7 Jan 2010 - 9:40 | |
| Bonjour,
Juste une ou deux question avant si tu le veux bien.
Faut-il que je rentre sur l'ordinateur en mode sans echec?
Et est ce qu'il faut que j'execute le même procédé avec "Rootrepeal", à savoir fermer les softs de sécurité et me déconnecter d'internet?
Encore merci. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Jeu 7 Jan 2010 - 12:42 | |
| Bonjour Lamagie Tu peux lancer Gmer ou RootRepeal depuis le mode normal. RootRepeal peut être lancer sans désactiver tes logiciels de sécurité. A plus tard et bonne journée. | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Jeu 7 Jan 2010 - 19:52 | |
| Salut Voila le rapport, tout a fonctionné et très rapidement. Merci.
Dernière édition par GrosBébé le Jeu 7 Jan 2010 - 21:32, édité 1 fois (Raison : Rapport supprimé) | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Jeu 7 Jan 2010 - 21:53 | |
| Salut Excellent Maintenant on va supprimer les fichiers temporaires, ça pourrait être bien parce que si je me fie au rapport ASquared, il se pourrait qu'il y ait des fichiers infectieux. Etape 1Télécharge TFC (clique ici) (de Old Timer) sur le bureau- TFC va fermer toutes tes fenêtres, je te conseille d'enregistrer ton travail puis de les fermer par toi même pour éviter de perdre ton travail
- Double clique sur TFC.exe pour le lancer
- Clique sur le bouton Start et patiente quelques instants.
- Une fois le nettoyage terminé, ton pc va redémarrer. S'il ne le fait pas, redémarre le toi même pour terminer le nettoyage
Etape 2
- Clique ici pour télécharger OTL (de Old Timer) sur ton bureau
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
- Coche Lop Check et Purity check
- Sous Custom Scans (en bas), copie/colle ceci
%SYSTEMDRIVE%\*.* %PROGRAMFILES%\*.* %PROGRAMFILES%\*. %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s netsvcs msconfig safebootminimal safebootnetwork activex drivers32 /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs CREATERESTOREPOINT
- Clique sur le bouton Run Scan en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront (OTL.Txt et Extras.Txt).
PS : Les rapport sont aussi enregistrés sur le bureau Les rapports sont longs, vérifie qu'ils sont entiers quand tu les copies/colles sur cijoint.fr Bonne soirée | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 0:10 | |
| Voici les rapports: OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201001/cijRBoHnau.txt Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201001/cijGY3vjS8.txt Je comprends pas trop ce que je fait depuis le début mais ca à l'air d'être du lourd PS: As-tu eu le lien pour le rapport "RootRepeal", je ne le vois plus??? Encore une fois merci. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 7:56 | |
| Salut Et bien oui, c'est un rootkit, et ce n'est pas évident à enlever. Mais là, ça a l'air d'être pas mal. J'ai eu le rapport de RootRepeal, c'est moi qui ai effacé le lien parce qu'il y avait une adresse mail. Maintenant, voyons voir si Malwarebytes fonctionne. Etape 1Relance OTL
- Dans le cadre Custom Scans/Fixes qui est en bas, colle le contenu du cadre ci dessous :
- Citation :
- :OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. [2009/12/17 21:24:43 | 00,000,008 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\sysReserve.ini [2009/01/07 14:57:28 | 00,000,000 | ---D | M] -- C:\Program Files\Avast4
:Commands [purity] [emptytemp] Puis clique sur le bouton Run Fix en haut.
- Laisse OTL tourner, le pc va redémarrer.
- Au redémarrage, un nouveau rapport va s'ouvrir, copie/colle son contenu ici svp
Etape 2
- Lance Malwarebyte et mets à jour la base de définition en allant dans l'onglet "Mise à jour" puis clique sur "recherche de mise à jour"
- Choisi Exécuter un examen rapide puis Rechercher
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient cochés (dans "Résultat de l'examen").
- Puis clique sur Supprimer la sélection en bas.
- Un redémarrage peut être nécessaire.
Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans Rapports/logs[/list] Et poste le rapport svp Une aide à l'utilisation iciEtape 3Envoie les rapports de OTL et de Malwarebyte svp. Tu peux les coller directement ici sans passer par cijoint. Au passage, comment fonctionne le pc ? Bonne journée
Dernière édition par GrosBébé le Ven 8 Jan 2010 - 7:57, édité 1 fois (Raison : Mise en forme) | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 15:35 | |
| Bonjour GrosBébé
ETAPE 1
Voici le rapport OTL:
All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found. C:\Documents and Settings\All Users\Application Data\sysReserve.ini moved successfully. C:\Program Files\Avast4\Setup folder moved successfully. C:\Program Files\Avast4 folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Elise ->Temp folder emptied: 2474 bytes ->Temporary Internet Files folder emptied: 3475143 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 3,00 mb OTL by OldTimer - Version 3.1.21.0 log created on 01082010_152008
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
----------------------------------------------------------------------------------------------
ETAPE 2
Par contre comme tu le soupconnais "Malwarebyte" ne fonctionne pas, le message d'erreur est:
Une erreur est survenue.Veuillez transmettre au support de MBAM le code d'erreur ci-dessous.
Error code: 723 (2)
Sinon le pc en lui-même fonctionne bien dans l'ensemble mais j'evite encore de m'en servir, si je le laisse simplement allumé un certain temps Avira détecte quelque chose (malheureusement j'ai oublié de noter ce que c'était, je l'ai mis en quarantaine), et il m'est aussi arrivé à deux reprise d'observer l'utilisation de l'UC à 100% en continu alors que rien ne le justifiait. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 17:52 | |
| Bonjour bonjour - lamagie a écrit:
- Par contre comme tu le soupconnais "Malwarebyte" ne fonctionne pas, le message d'erreur est:
Une erreur est survenue.Veuillez transmettre au support de MBAM le code d'erreur ci-dessous.
Error code: 723 (2) Ok je vois. Désinstalle Malwarebytes, puis réinstalle le svp http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26 - Citation :
- si je le laisse simplement allumé un certain temps Avira détecte quelque chose (malheureusement j'ai oublié de noter ce que c'était, je l'ai mis en quarantaine)
Possible qu'Antivir détecte des vilains dans les zones de quarantaine, on verra. A plus tard. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 17:59 | |
| Je développe un peu : Désinstalle Malwarebyte Redémarre puis utilise ceci http://www.malwarebytes.org/mbam-clean.exe Redémarre une fois de plus, puis installe Malwarebyte http://www.malwarebytes.org/mbam/program/mbam-setup.exe Si ça bloque toujours, on avisera | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 18:37 | |
| Re!!!
J'ai pu executer MBAM, mais à la suite de l'execution de mbam-clean j'ai d'abord eu ce message d'erreur:
SHGet Value failed with error code 0
J'ai tout de même continuer selon tes instructions et MBAM s'est bien éxecuter voici le rapport:
Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3519 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11
08/01/2010 18:32:10 mbam-log-2010-01-08 (18-32-10).txt
Type de recherche: Examen rapide Eléments examinés: 115049 Temps écoulé: 5 minute(s), 43 second(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté)
Dossier(s) infecté(s): (Aucun élément nuisible détecté)
Fichier(s) infecté(s): (Aucun élément nuisible détecté) | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Ven 8 Jan 2010 - 19:14 | |
| On avance. Je remarque que Java n'est pas installé sur ce pc, on va le mettre. Ensuite je te propose de lancer un scan en ligne pour contrôler le tout. Etape 1Télécharge et installe Java depuis le lien ci dessous. http://java.com/fr/ Etape 2Rends toi sur kaspersky online scanner (clique ici) - Clique sur Accept en bas pour installer le programme.
- Ferme toutes tes fenêtres et désactive tes logiciels de sécurité.
- Clique sur exécuter pour lancer le programme.
Patiente le temps de la mise à jour ...
- Clique sur my computer sous scan (à gauche)
Patiente le temps du scan.
- Dès que c'est fini, clique sur Report... à gauche, puis clique sur save report...
Sauvegarde le rapport sous le nom kaspersky.txt et copie/colle son contenu ici svp. Réactive ton antivirus. ps : n'utilise pas ton pc le temps du scan. Une aide en image ici | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Sam 9 Jan 2010 - 12:02 | |
| Bonjour
voila le rapport de kaspersky:
-------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0: scan report Saturday, January 9, 2010 Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) Kaspersky Online Scanner version: 7.0.26.13 Last database update: Friday, January 08, 2010 23:22:30 Records in database: 3318709 --------------------------------------------------------------------------------
Scan settings: scan using the following database: extended Scan archives: yes Scan e-mail databases: yes
Scan area - My Computer: C:\ D:\ E:\ F:\
Scan statistics: Objects scanned: 112272 Threats found: 1 Infected objects found: 2 Suspicious objects found: 0 Scan duration: 04:16:49
File name / Threat / Threats count C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTehtitlwhky.dll.vir Infected: Packed.Win32.TDSS.aa 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTtymexmqsin.dll.vir Infected: Packed.Win32.TDSS.aa 1
Selected area has been scanned. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Sam 9 Jan 2010 - 22:09 | |
| Salut
Pas mal, ces fichiers sont dans une zone de 40aine, on s'en occupera plus tard.
Tu as encore des alertes de la part d'antivir ? | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Sam 9 Jan 2010 - 22:41 | |
| Salut
Oui j'ai eu une alerte:
Trojan Horse TR/Crypt.CFI.Gen
Sinon penses tu que le PC peut reprendre du service, j'aimerais quand même savoir vider les fichiers qui sont en quarantaine.
En tout cas merci pour tout. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Sam 9 Jan 2010 - 23:25 | |
| Pas de quoi.
Ne t'inquiète pas, on videra les quarantaines à la fin. Là c'est encore trop tôt vu qu'antivir détecte encore quelque chose.
Il faudrait que je vois ce qu'il détecte. En bas à droite de ton écran, tu as le parapluie d'antivir : - clic droit dessus et sélectionne "Démarrer antivir" - Antivir s'ouvre, sur la gauche clique sur "Evènement" - sur la droite, une liste d'action apparait, double clique sur la première action qui s'appelle "Logiciel malveillant détecté" et copie/colle le contenu ici svp.
++ | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 10 Jan 2010 - 1:16 | |
| J'ai effectué un nouveau scan avant, je te copie colle ce que tu m'as demandé mais il y en a 4 autres de plus, dis moi si tu veux aussi le rapport du scan.
Dernier détecté:
The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079696.exe' contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic] Action(s) taken: The file was moved to "4b7912e0.qua"!
-------------------------------------------------------------
Les quatres autres, au cas où !?!
The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079690.exe' contained a virus or unwanted program 'TR/Crypt.CFI.Gen' [trojan] Action(s) taken: The file was moved to "4b7912c6.qua"!
--------------------------------------------------------------
The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP665\A0074632.exe' contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic] Action(s) taken: The file was moved to "4b791216.qua"!
--------------------------------------------------------------
The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP626\A0066163.exe' contained a virus or unwanted program 'TR/Crypt.CFI.Gen' [trojan] Action(s) taken: The file was moved to "4b79109b.qua"!
--------------------------------------------------------------
The file 'C:\Documents and Settings\Elise\Bureau\ComboFix.exe' contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic] Action(s) taken: The file was moved to "4bb606a1.qua"!
---------------------------------------------------------------
PS: la mise a jour d'Avira ne veut pas s'effectuer a cause d'une license invalide. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 10 Jan 2010 - 14:00 | |
| Salut
Ok, c'est tout bon, les fichiers détectés par Antivir sont dans les points de restauration de windows qu'on va bientôt vider. Et pour la dernière infection détectée, il s'agit d'un faux positif, pas de ce souci de côté là.
Pour la forme (et au cas où), je veux bien voir le rapport d'Antivir si tu l'as encore, si non ce n'est pas grave.
Antivir en attente (c'est pour éviter de tout mélanger)
A plus tard | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 10 Jan 2010 - 18:31 | |
| Bonjour GrosBébé
Ca marche, voila le rapport d'Antivir:
Avira AntiVir Personal Report file date: samedi 9 janvier 2010 23:38
Scanning for 1165085 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: NOM-1FF766121D7
Version information: BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 10:02:56 AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 09:43:37 LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 09:41:23 LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 09:28:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 11:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 14:08:58 ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 20:12:34 ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25/03/2008 09:27:50 Engineversion : 8.1.0.28 AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 10:58:21 AEscript.DLL : 8.1.0.19 229754 Bytes 07/04/2008 16:34:44 AESCN.DLL : 8.1.0.12 115060 Bytes 07/04/2008 16:34:44 AERDL.DLL : 8.1.0.19 418164 Bytes 07/04/2008 16:34:44 AEPACK.DLL : 8.1.1.0 364918 Bytes 18/03/2008 12:20:42 AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07/04/2008 16:34:44 AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07/04/2008 16:34:44 AEHELP.DLL : 8.1.0.11 115061 Bytes 07/04/2008 16:34:43 AEGEN.DLL : 8.1.0.15 299379 Bytes 07/04/2008 16:34:43 AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 16:34:43 AECORE.DLL : 8.1.0.25 168309 Bytes 08/04/2008 10:58:32 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 18:07:53 AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 11:37:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 14:26:47 AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 18:07:49 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 09:31:31 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 18:08:39 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 15:37:25 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 13:02:11
Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, E:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium
Start of the scan: samedi 9 janvier 2010 23:38
The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'update.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned Scan process 'CLI.exe' - '1' Module(s) have been scanned Scan process 'CLI.exe' - '1' Module(s) have been scanned Scan process 'iPodService.exe' - '1' Module(s) have been scanned Scan process 'reader_sl.exe' - '1' Module(s) have been scanned Scan process 'IMx3Launcher.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'sm56hlpr.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned Scan process 'CLI.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'MDM.EXE' - '1' Module(s) have been scanned Scan process 'jqs.exe' - '1' Module(s) have been scanned Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 48 processes with 48 modules were scanned
Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found!
Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'E:\' [INFO] No virus was found!
Starting to scan the registry. The registry was scanned ( '41' files ).
Starting the file scan:
Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Elise\Bureau\ComboFix.exe [0] Archive type: RAR SFX (self extracting) --> 32788R22FWJFW\n.pif [DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted) [NOTE] The file was moved to '4bb606a1.qua'! C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP626\A0066163.exe [DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen [NOTE] The file was moved to '4b79109b.qua'! C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP665\A0074632.exe [0] Archive type: RAR SFX (self extracting) --> 32788R22FWJFW\n.pif [DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted) [NOTE] The file was moved to '4b791216.qua'! C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079690.exe [DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen [NOTE] The file was moved to '4b7912c6.qua'! C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079696.exe [0] Archive type: RAR SFX (self extracting) --> 32788R22FWJFW\n.pif [DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted) [NOTE] The file was moved to '4b7912e0.qua'! Begin scan in 'E:\'
End of the scan: dimanche 10 janvier 2010 00:59 Used time: 1:20:49 min
The scan has been done completely.
11727 Scanning directories 415584 Files were scanned 5 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 5 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 415579 Files not concerned 7257 Archives were scanned 2 Warnings 5 Notes | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 10 Jan 2010 - 18:50 | |
| Re Ok, c'est bon, antivir n'a trouvé ces choses que dans les points de restauration. On va supprimer tous les outils que je t'ai demandés d'utiliser. Au passage, les zones de quarantaine seront supprimées et les points de restauration vidés.
- Clique sur le menu démarrer et sélectionne Exécuter...
- Tape ComboFix /Uninstall (attention, il y a un espace) puis clique sur Ok.
Double clique sur OTL.exe et clique sur le bouton CleanUp. OTL va supprimer tous les logiciels qu'on a utilisés et faire redémarrer ton ordinateur. Supprime tous les logiciels que je t'ai demandés d'installer qui ne seraient pas partis avec OTL ainsi que les différents rapports. Conserve Malwarebyte et utilise le régulièrement, c'est un antimalware "grand public" """"""""""""""""""""""""""""""""""""""""""""" Tu devrais penser à installer un pare feu, il va consommer un peu de mémoire, mais tu serais mieux protéger. En voici trois : Online Armor FreeSunbelt Personal FirewallAgnitum Outpost Firewall""""""""""""""""""""""""""""""""""""""""""""" Startuplite est un programme qui va désactiver certains programmes inutiles au démarrage (ce qui libérera de la mémoire). Auslogics Disk Defrag pour défragmenter ton ordinateur.. """"""""""""""""""""""""""""""""""""""""""""" As tu des questions ? Concernant Antivir, quelque chose m'embête. D'après le rapport, j'ai l'impression que tu utilises la précédente version ... désinstalle puis réinstalle le depuis ce lien svp. http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Dim 10 Jan 2010 - 22:38 | |
| J'ai suivi tes conseils j'attends juste que l'ordinateur soit bien propre pour installer "Online Armor Free".
Je n'ai pas d'autres questions.
Merci | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 11 Jan 2010 - 7:05 | |
| Bonjoue Lamagie Les derniers rapports reçus semblent propres, donc pour moi c'est bon. Tu as d'autres soucis ? Bonne journée | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 11 Jan 2010 - 11:57 | |
| Bonjour GrosBébé Donc tout est OK je peux utiliser à nouveau mes points de restauration. En tout un gros Merci à toi et à ric025. J'attends juste ta confirmation pour le restauration système et je signalerais le post comme résolu!!! | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 11 Jan 2010 - 19:07 | |
| Bonsoir Pour moi c'est bon, par contre : - GrosBébé a écrit:
- Au passage, les zones de quarantaine seront supprimées et les points de restauration vidés.
Donc tu devrais pouvoir utiliser ta restauration du système (mais tu ne pourras revenir qu'à hier vu qu'on a purgé tes points de restauration). Bonne soirée | |
|
| |
lamagie Bibou
Nombre de messages : 26 Age : 45 Localisation : normandie Date d'inscription : 04/07/2008
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Lun 11 Jan 2010 - 21:13 | |
| OK Sujet Resolu!!! Un gros !!!!!! | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared Mar 12 Jan 2010 - 1:11 | |
| Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à lamagie. Pour les autres, créez votre propre sujet svp. | |
|
| |
Contenu sponsorisé
| Sujet: Re: [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared | |
| |
|
| |
| [Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared | |
|