MoJac

Bonjour jul&kn, - Très bien, merci à lance_yien pour son intervention qui a permis une ultime vérification (rien n'échappe à l'oeil d'Horus !) - De ce dernier épisode, dans l'état actuel des choses, je pense que c'est Norton qui fait des vérifications de routine et qui a débusqué des éléments anciens. - Je suis un peu surpris par contre qu'il n'est pas réussi à les éliminer ... je ne connais pas la philosophie de décontamination de cet antivirus lorsqu'il trouve un présumé problème via son moteur heuristique. Peut être est ce normal. - Au moment de la découverte j'ai essayé de savoir si la date de création de ces fichiers existait toujours pour confirmer l'hypothèse précédente et par mesure conservatoire j'avais proposé un script ComboFix ... Tu as réussi par un moyen plus simple, c'est parfait. - Je te propose donc de terminer l'intervention: 1) - Désinstallation des outils utilisés (deuxième phase): Fais Démarrer/Exécuter copie-colle la commande suivante puis OK (espace entre "ComboFix" et "/Uninstall"): ComboFix /Uninstall Ca désinstallera ComboFix et remettra les options de sécurité de Windows par défaut. Supprime aussi le dossier C:/Qoobox (quarantaine de ComboFix) puis vide ta corbeille. Lance OTL et clique sur Purge outils. OTL va se désintaller lui-même et fera redémarrer le PC. 2) - Optimisation de la liste de démarrage: - Nous avions déja évoqué la désinstallation de Lavasoft Ad-Aware qui a tété confirmé par lance_yien. Il existe un logiciel permettant de mettre en évidence et éventuellement d'empêcher le démarrage de certains programmes: Télécharge, sur le Bureau, MBAM' StartUpLite. Ferme toutes les applications en cours, clique-droit sur StartUpLite.exe => "Exécuter en tant qu'administrateur" pour lancer le programme. Les entrées de démarrage superflues seront visibles et les actions a entreprendre (Disable = Désactiver) seront cochées par defaut. Sélectionne toutes les entrées affichées et clique sur Continue. NB:Si aucun démarrage superflu n'est détecté, l'outil affichera "No unnecessary startups found!" (Pas d'entrées de démarrage inutiles trouvées). 3) - Conseils généraux relatifs à la sécurité: Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF) Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi. Les risques liés au P2P:Idées reçues Sauf si tu as des questions ou encore des pb, je te propose d'en rester là. - Merci d'éditer ton 1er post pour ajouter [Résolu] au début du titre après avoir cliqué sur le bouton "Modifier". - Toute l'équipe sécurité de Zebulon te souhaite bon surf en toute sécurité

Re: - Ok mais il faut quand même être attentif de ce coté là. - Le pb sera de savoir si il y a eu ré- infection via l’extérieur de la machine par le réseau donc, ou si il restait des trucs. - Nous avons passé ComboFix immédiatement aprés le redémarrage de la machine sans résultat semble t'il. - Le peu de recherches que j'ai pu faire semble montrer que ce type d'infection est éradiquée par Symantec donc il y a un mystère. Nouvelle version là aussi ? Décidément on va toutes les passer en revue - Cela provoque effectivement des ralentissements Le fait que ce fichier DWH5.tmp ne se laisse pas supprimer n'est pas de bonne augure. Les tentatives de suppression semblent générer de nouvelles version DWH6.tmp (?) Ces fichiers sont cachés le répertoire est protégé . Néanmoins tu dois pouvoir visualiser les fichiers cachés [Astuce Vista] Afficher les fichiers cachés : Astuces en vrac Note toutes les occurrences des fichiers DWHx.tmp éventuelle :ss) Supprime ComboFix.exe qui est sur ton bureau et télécharge une copie nouvelle que tu placeras aussi sur ton bureau impérativement. Ouvre le bloc-notes (Démarrer/Programmes/Accessoires/bloc-notes) Sélectionne tout le texte dans le cadre ci-dessous et copie-colle le dans le bloc-notes. File:: C:\Documents and Settings\Julie\Local Settings\Temp\DWH5.tmp Rajoute à la liste avec la même syntaxe, les autres fichiers DWHx.tmp trouvés si nécessaire. Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau aussi. Veille à ce que tous tes logiciels de sécurité soient désactivés avant de passer à la suite. Fais un glisser/déposer de l'icone de ce fichier CFScript sur l'icone de ComboFix comme sur la capture: Lorsque la fenêtre rappelant les conditions d'utilisation apparait, clique sur OK pour lancer le script. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: Poste son contenu dans ta prochaine réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ça tombe vraiment mal, je garde mes petits enfants et il y a une pleine maison de monde ... Pratiquement impossible d'être au calme. Je ne serai pas là les 3 prochains jours. Je tenterai de jeter un œil ... A plus

Salut, Je ne suis pas chez moi. Donc un peu compliqué pour faire des analyses. J'ai trouvé ça: Bloodhound.MalPE | Symantec Qui semblerait indiquer une autre forme de manifestation de cette cochonnerie. C'est dans un fichier temporaire ... je suggère de tenter de vider tes fichiers temp Supprime et retélacharge une version toute neuve de ComboFix et fais un scan. As tu fais quelque chose de particulier en terme de surf ? Je pense qu'il y a tentative de réinfection. Il y a ça aussi qui va dans ce sens: Attention a ton environnement réseau, peut être une autre machine contaminée tente de propager ce truc. A plus [Edité] Complément d'info

- A priori non, d'autant que nous avions passé USBFix qui n'avait rien trouvé ... - Supprime les fichiers contaminés (même si dans cette configuration ils ne sont pas dangereux) - Garde par contre une sauvegarde de ton MBR sain ! Si tu as des doutes sur tes clés le plus simple est de les formater ... Bonne semaine et tiens nous au courant

Re: Il y a beaucoup de choses lancées sur cette machine. La plupart me semble relever de ton activité et donc difficile à supprimer. Je suis défavorable à toute utilisation "d'optimiseurs" de registres qui ne font que fragiliser les systèmes Microsoft modernes (Vista/Sept) Une chose qui consomme des ressources et qui ne me semble pas indispensable est Ad-Aware. Dans la mesure où tu as Malwarebyte's Antimalware qui est nettement plus performant, mon avis serait de désinstaller AD-Aware et de faire régulièrement un scan après mise à jour. On va commencer tranquillement à mettre un peu d'ordre. 1) - Mises à jour de ton système: - Ta version de Java n'est pas à jour. Tu peux le vérifier ICI(actuellement Version 6 Update 24) Lors de l'installation décocher la barre d'outil Yahoo proposée Après mise à jour Désinstalle toutes les anciennes versions par Ajout/Suppression de programmes si elles existent. Les lignes ressemblent à Java X Update Y. - Vérification Adobe flash player Adobe - Flash Player Faire cette vérification avec chaque navigateur et suis les instruction Téléchargement et installation qui se trouvent sur la page. 2) - Désinstallation des outils utilisés (première phase): Via le panneau de configuration, désinstalle ESET Scanner si présent, puis au besoin supprime les dossiers suivants: C:\Program Files\ESET Supprime TDSSKiller.exe de sur ton bureau. Supprime MBRCheck de sur ton bureau. Supprime antiboot.zip et antiboot.exe de sur ton bureau. Supprime MBRBackup.exe de sur ton bureau. Relance AD-R et clique sur le bouton Désinstaller Relance RogueKiller.exe et clique sur le bouton Désinstaller Relance USBFix et clique choisi Désinstaller Dans le dossier C\Programmes\ZHPDiag, clique sur le fichier unins000.exe Supprime launch.exe (de DrWebCureIt) de sur ton bureau et supprime de ton profile le dossier Doctor Web. Désinstalle Kav2011 via le panneau de configuration si encore présent. je te propose de garder encore quelques jour OTL et ComboFix en espérant ne pas avoir à s'en servir. Les désinstallations de ces 2 programme est assez sophistiquée et font aussi un peu de ménage. Voilà pour le moment. Reviens vers nous d'ici quelques jours (ou avant si tu as des difficultés ou des questions !) et nous finirons la désinfection par désinstallation finale et conseils de sécurité. PS: je serai peu disponible ces prochains jours. A plus

Bonjour jul&kn et Apollo, L'analyse de OTL ne montre rien en terme d'infection à mon sens, quelques détails infimes qu'on va supprimer: Nouvelle utilisation de OTL (de OldTimer), mais en nettoyage cette fois ci: Fais un double clic sur OTL.exe pour lancer l'outil. Ou clic droit et Exécuter en tant qu'Administrateur sous Vista/Sept Sélectionne très précisément tout ce qui est en gras avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. :Files ipconfig /flushdns /c :Commands [purity] [emptytemp] [EMPTYFLASH] [CREATERESTOREPOINT] Ferme toutes les fenêtres de programme ouvertes (navigateur, traitement de texte, etc...). /!\ Clique sur le bouton Correction: Note: Si le redémarrage est demandé, clique sur Oui/Yes Lors du redémarrage le bloc-note sera ouvert avec le contenu du fichier OTL.txt Poste son contenu Télécharge Security Check de screen317 et enregistre le sur ton Bureau. Double-clique sur Security Check.exe afin de l'exécuter (ou clic droit et exécuter en tant qu'administrateur si tu es sous Vista). Suis les instructions affichées à l'écran. /!\ Lors de la phase "DNS Vulnerability Check: / Vulnérabilité DNS", le processus DIG.exe va demander une connexion en sortie qu'il faut autoriser. Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes. Poste le contenu dans ta prochaine réponse - Il y a beaucoup de reste de la bataille sur cette machine, un peu de ménage sera nécessaire. - Je te propose d'attendre quelques jours d'utilisation, afin de vérifier que tout est OK, avant de s'attaquer à cette partie. Sont donc attendus: Le rapport OTL de correction. Le rapport SecurityCheck. Comment se comporte la machine ? A plus

Re: Cette manip, si elle s'avère pérenne, nous a permis de faire un grand pas en avant face à cette peste. Merci pour ta patience ! Je pense qu'il est néanmoins nécessaire de faire un test de la machine avant d'aller plus loin: Télécharge OTL (OldTimer) sur ton Bureau : - Ferme toutes les fenêtres de programme ouvertes. - Double clic sur OTL.exe pour lancer l'outil (XP). Sous Windows Vista/Sept, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil. - L'écran principal de OTL s'affiche: (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche: (2) Coche (en haut) la case située devant Tous les utilisateurs: NB: si le système est un 64 bit, cette caractéristique apparaitra ici. Veiller à la laisser cocher (3) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone "Personnalisation" de la fenêtre OTL netsvcs hklm\software\clients\startmenuinternet|command /rs %SYSTEMDRIVE%\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\System32\config\*.sav %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\system32\*.dll /lockedfiles HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs SAVEMBR:0 /md5start explorer.exe winlogon.exe Userinit.exe svchost.exe iexplore.exe atapi.sys ntfs.sys /md5stop (4) Puis cliquer sur le bouton Analyse: - Laisser l'outil travailler sans l'interrompre. Lorsque l'outil a terminé, il y a ouverture de 2 fenêtres du Bloc-notes contenant OTL.Txt et Extras.Txt. Sélectionne et copie le contenu de ces 2 fichiers, l'un après l'autre, dans ta prochaine réponse.(au besoins fais plusieurs messages) On regardera ça demain à tête reposée.

Ca a l'air pas mal tout ça ! A mon sens rien au niveau TDSSKiller. j'épluche Combofix au cas où ... As tu toujours des alertes de Symantec ? Ok nos messages se sont croisés. A suivre

Non pas d'espace ! :super:grr

Bonjour jul&kn et Apollo, Bon la table de partition est identique dans les 2 versions, donc cela devrait aller. Nous allons utiliser une méthode déja éprouvée pour ce genre de manip en environnement Reatogo (merci à jeanmimigab) 1) Manip préparatoires: Vérifie bien que le fichier du MBR sain que nous avons obtenu hier est bien orhographié: MBR_2011-04-23.bin - Supprime la version actuelle de ComboFix qui est sur ton bureau, puis retélécharge une nouvelle mouture de ComboFix. - Même chose avec TDSSKiller. - Copie le fichier MBR_2011-04-23.bin qui est sur ton bureau directement sous C:\ Ensuite: Afin d'éviter des manip au clavier avec un clavier QWERTY, qui peut être source d'erreur, nous allons faire un peu de préparation: Ouvre le blocnote et copie cette commande: MbrFix /drive 0 restorembr c:\MBR_2011-04-23.bin /!\ Attention vérifie bien que c'est le nom exact du fichier sain Sauve ce fichier sous C:\ avec le Nom MbrFix.txt 2) Restoration du MBR: - Mets le CD OTLPE déja utilsé dans ta machine et reboot dessus. - Patiente que l'environnement Reatogo se charge - c'est très lent ! - Avec l'explorateur ouvre le fichier MbrFix.txt et sélectionne et copie (Cntrl+c) la commande: - Double clic sur l'icone MBRFix qui se trouve sur le bureau (écran noir avec C:\). - clic droit sur le bandeau superieur de la fenêtre de commande qui s'ouvre puis clic sur edit puis paste - Tu dois avoir l'écran suivant: - Valide par Entrée, puis répondre "y" à la question "you are about to restore MBR, are you sure ?", tu obtiens ceci: - Retire le CD et redémarre ta machine. 3) Recherches complémentaires en vue d'éviter une réinfection éventuelle: - Dés que tu as accès à ta machine clic droit sur Combofix et exécuter en tant qu'administrateur. - idem avec TDSSKiller Poste les rapports obtenus et donne nous des nouvelles sur le comportement de la machine ... A plus Edit: suppression erreur dans la commande ...

Bonjour jul&kn et Apollo, c'est une hypothèse qu'on veut vérifier: TDL4 présente un MBR sain à toute requête réalisée depuis Windows "rootkité". Il faut vérifier que ce MBR est complet (avec la table de partitions). Peux tu remonter le fichier sur un serveur comme tu l'as déjà fait pour le MBR contaminé. Ce fichier n'a à priori rien de confidentiel et tu peux mettre le lien sur le forum; Cela permettra éventuellement de multiplier les chances de vérification. Nous travaillons sur plusieurs hypothèses. On progresse doucement - ce n'est pas encore gagné. A plus

Bonjour jul&kn et Apollo, Avant de passer à l'attaque je te propose de faire encore quelques vérifications et sauvegardes de ton environnement technique: - Mets de coté (sur un autre support, une clé USB par exemple) le fichier obtenu par OTLPE: Physical0MBR.bin; Il est pollué mais "fonctionnel" au sens ou il permet quand même de booter la machine. - Vérification de la présence de la partition de sauvegarde (recovery) de ton système; Clic sur démarrer (le globe Vista) et dans la fenêtre recherche tape Exécuter. Clic droit et exécuter en tant qu'administrateur sur "Exécuter" qui apparait en haut de la fenêtre de recherche. Ensuite dans la fenêtre qui s'ouvre tape compmgmt.msc Clique sur Gestion des disques comme indiqué sur l'image: Fais une copie d'écran, sauve l'image en format .jpg et charge cette image via Xoo Image par exemple et poste le lien "code de forum" que tu obtiendras - Nouvelle sauvegarde de ton MBR et vérifications complémentaires: Télécharge MBRBackup sur ton bureau et lance le (double clic). ou clic droit et exécuter en tant qu'administrateur si tu es sous Vista/Sept Clique en haut à gauche sur "Save MBR" Enregistre le rapport sur le bureau Il sera de la forme (MBR_date.bin) - Sauvegarde aussi cette copie de MBR sur ta clé (MBR_date.bin). - Relance MBRBackup, sélectionne l'onglet "View Partition table" poste le contenu ou l'image de copie d'écran. - Refais un scan VirusTotal de ce nouveau fichier obtenu via MBRBackup: le but de cette nouvelle manip est de vérifier que cette copie est bien celle contaminée et non un MBR sain présenté par le système de camouflage du rootkit. C'est important pour la suite. - Garde à porté de la main ton CD de OTLPE on risque de l'utiliser. A plus

Bonjour jul&kn et Apollo, Passage rapide. Attention récupère précieusement cet exemplaire de MBR. Nous allons le faire remonter aux développeurs afin d'adapter leurs outils. Apollo te donnera la procédure. On s'occupe de ton cas. Encore un peu de patience ! Bon courage

Bonjour jul&kn et Apollo, Bon, il ne semble pas y avoir de driver ou service caché ... Je te propose de faire quelques vérifications complémentaires: :ss) Fais analyser les fichiers ci-dessous sur VirusTotal.com. C:\Physical0MBR.bin Pour analyser un fichier: Tu cliques sur le bouton Parcourir et tu recherches dans la fenêtre qui s'ouvre (arborescence de ton disque dur) le fichier en question. Ensuite tu cliques sur Envoyer le Fichier. Ton fichier va être mis en file d'attente: Votre Fichier est dans la file d'attente en position: ... Patiente le temps d'analyse du fichier. Ca peut durer un petit moment si le serveur est surchargé. ( Si VirusTotal indique que le fichier a déjà été analysé, (File already Submited) clique sur le bouton Ré-analyse le fichier maintenant ) A la fin de l'analyse dans Situation actuelle, tu dois voir: Terminé Copie-colle le contenu du rapport dans ta prochaine réponse. NB: L'analyse peut être lancée à partir d'IE ou Firefox. Ensuite: :ss) Télécharge USBFix de Chiquitine29 et C_XX et enregistre le sur ton bureau. Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer. Si tu es sous Vista/Sept, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur. - Clique sur le bouton Recherche pour lancer le scan. Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) et de les mettre sous tension si nécessaire va apparaitre. Branche le matériel puis clique sur OK pour poursuivre. Patiente le temps d'exécution du scan. A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse . Sont attendus: Le rapport VirusTotal à propos de ton MBR Le rapport d'analyse de USBFix A plus