MoJac

Bonjour jul&kn, - Très bien, merci à lance_yien pour son intervention qui a permis une ultime vérification (rien n'échappe à l'oeil d'Horus !) - De ce dernier épisode, dans l'état actuel des choses, je pense que c'est Norton qui fait des vérifications de routine et qui a débusqué des éléments anciens. - Je suis un peu surpris par contre qu'il n'est pas réussi à les éliminer ... je ne connais pas la philosophie de décontamination de cet antivirus lorsqu'il trouve un présumé problème via son moteur heuristique. Peut être est ce normal. - Au moment de la découverte j'ai essa

Re: - Ok mais il faut quand même être attentif de ce coté là. - Le pb sera de savoir si il y a eu ré- infection via l’extérieur de la machine par le réseau donc, ou si il restait des trucs. - Nous avons passé ComboFix immédiatement aprés le redémarrage de la machine sans résultat semble t'il. - Le peu de recherches que j'ai pu faire semble montrer que ce type d'infection est éradiquée par Symantec donc il y a un mystère. Nouvelle version là aussi ? Décidément on va toutes les passer en revue - Cela provoque effectivement des ralentissements Le fait que ce fichier

Salut, Je ne suis pas chez moi. Donc un peu compliqué pour faire des analyses. J'ai trouvé ça: Bloodhound.MalPE | Symantec Qui semblerait indiquer une autre forme de manifestation de cette cochonnerie. C'est dans un fichier temporaire ... je suggère de tenter de vider tes fichiers temp Supprime et retélacharge une version toute neuve de ComboFix et fais un scan. As tu fais quelque chose de particulier en terme de surf ? Je pense qu'il y a tentative de réinfection. Il y a ça aussi qui va dans ce sens: Attention a ton environnement réseau, peut être une aut

- A priori non, d'autant que nous avions passé USBFix qui n'avait rien trouvé ... - Supprime les fichiers contaminés (même si dans cette configuration ils ne sont pas dangereux) - Garde par contre une sauvegarde de ton MBR sain ! Si tu as des doutes sur tes clés le plus simple est de les formater ... Bonne semaine et tiens nous au courant

Re: Il y a beaucoup de choses lancées sur cette machine. La plupart me semble relever de ton activité et donc difficile à supprimer. Je suis défavorable à toute utilisation "d'optimiseurs" de registres qui ne font que fragiliser les systèmes Microsoft modernes (Vista/Sept) Une chose qui consomme des ressources et qui ne me semble pas indispensable est Ad-Aware. Dans la mesure où tu as Malwarebyte's Antimalware qui est nettement plus performant, mon avis serait de désinstaller AD-Aware et de faire régulièrement un scan après mise à jour. On va commencer tranquillement à

Bonjour jul&kn et Apollo, L'analyse de OTL ne montre rien en terme d'infection à mon sens, quelques détails infimes qu'on va supprimer: Nouvelle utilisation de OTL (de OldTimer), mais en nettoyage cette fois ci: Fais un double clic sur OTL.exe pour lancer l'outil. Ou clic droit et Exécuter en tant qu'Administrateur sous Vista/Sept Sélectionne très précisément tout ce qui est en gras avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) O2 - BHO: (no name) -

Re: Cette manip, si elle s'avère pérenne, nous a permis de faire un grand pas en avant face à cette peste. Merci pour ta patience ! Je pense qu'il est néanmoins nécessaire de faire un test de la machine avant d'aller plus loin: Télécharge OTL (OldTimer) sur ton Bureau : - Ferme toutes les fenêtres de programme ouvertes. - Double clic sur OTL.exe pour lancer l'outil (XP). Sous Windows Vista/Sept, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil. - L'écran principal de OTL s'affiche: (1) Si ce n'est déjà

Ca a l'air pas mal tout ça ! A mon sens rien au niveau TDSSKiller. j'épluche Combofix au cas où ... As tu toujours des alertes de Symantec ? Ok nos messages se sont croisés. A suivre

Non pas d'espace ! :super:grr

Bonjour jul&kn et Apollo, Bon la table de partition est identique dans les 2 versions, donc cela devrait aller. Nous allons utiliser une méthode déja éprouvée pour ce genre de manip en environnement Reatogo (merci à jeanmimigab) 1) Manip préparatoires: Vérifie bien que le fichier du MBR sain que nous avons obtenu hier est bien orhographié: MBR_2011-04-23.bin - Supprime la version actuelle de ComboFix qui est sur ton bureau, puis retélécharge une nouvelle mouture de ComboFix. - Même chose avec TDSSKiller. - Copie le fichier MBR_2011-04-23.bin qui est sur ton bureau di

Bonjour jul&kn et Apollo, c'est une hypothèse qu'on veut vérifier: TDL4 présente un MBR sain à toute requête réalisée depuis Windows "rootkité". Il faut vérifier que ce MBR est complet (avec la table de partitions). Peux tu remonter le fichier sur un serveur comme tu l'as déjà fait pour le MBR contaminé. Ce fichier n'a à priori rien de confidentiel et tu peux mettre le lien sur le forum; Cela permettra éventuellement de multiplier les chances de vérification. Nous travaillons sur plusieurs hypothèses. On progresse doucement - ce n'est pas encore gagné. A plus

Bonjour jul&kn et Apollo, Avant de passer à l'attaque je te propose de faire encore quelques vérifications et sauvegardes de ton environnement technique: - Mets de coté (sur un autre support, une clé USB par exemple) le fichier obtenu par OTLPE: Physical0MBR.bin; Il est pollué mais "fonctionnel" au sens ou il permet quand même de booter la machine. - Vérification de la présence de la partition de sauvegarde (recovery) de ton système; Clic sur démarrer (le globe Vista) et dans la fenêtre recherche tape Exécuter. Clic droit et exécuter en tant qu'administrateur sur "Exé

Bonjour jul&kn et Apollo, Passage rapide. Attention récupère précieusement cet exemplaire de MBR. Nous allons le faire remonter aux développeurs afin d'adapter leurs outils. Apollo te donnera la procédure. On s'occupe de ton cas. Encore un peu de patience ! Bon courage

Bonjour jul&kn et Apollo, Bon, il ne semble pas y avoir de driver ou service caché ... Je te propose de faire quelques vérifications complémentaires: :ss) Fais analyser les fichiers ci-dessous sur VirusTotal.com. C:\Physical0MBR.bin Pour analyser un fichier: Tu cliques sur le bouton Parcourir et tu recherches dans la fenêtre qui s'ouvre (arborescence de ton disque dur) le fichier en question. Ensuite tu cliques sur Envoyer le Fichier. Ton fichier va être mis en file d'attente: Votre Fichier est dans la file d'attente en position: ... Patiente le temps d'ana