jul&kn

Merci encore

Super, merci beaucoup Bonne soirée (pluvieuse je le crains) à toi aussi

Bonjour, Symantec se décide à donner des alertes... Il a détecter un Trojan Gen.2 dans le fichier Physical0MBR.bin dont on sait qu'il est infectée (celui remplacé pdepuis par MBRfix mais que j'ai toujours sur C:\).

Bonjour lance_yien, Désolée de ne pas avoir fait cette manip plus rapidement, je n'étais pas connectée sur le forum. Je viens d'essayer de soumettre le fichier en question sur l'un et l'autre des site, mais Jotti me dit que le fihcier fait 0 octet et VirusTotal le 'charge' puis revient sur le page d'accueil (même problème). J'ai regarder la taille du fichier en passant par C: et il n'est pas vide (97 Ko). J'ai essayé en faisant un Zip prealable du fichier (mais je ne suis pas certaine que ça marche, car il semble être en cours d'ulisation) et voilà l'adresse permanante du lien SafeBoot.zip - Le scanner antivirus de Jotti et le même dossier en analyse sur virus total Antivirus Version Last Update Result AhnLab-V3 2011.04.28.00 2011.04.27 - AntiVir 7.11.7.7 2011.04.25 - Antiy-AVL 2.0.3.7 2011.04.27 - Avast 4.8.1351.0 2011.04.27 - Avast5 5.0.677.0 2011.04.27 - AVG 10.0.0.1190 2011.04.27 - BitDefender 7.2 2011.04.27 - CAT-QuickHeal 11.00 2011.04.27 - ClamAV 0.97.0.0 2011.04.27 - Commtouch 5.3.2.6 2011.04.27 - Comodo 8498 2011.04.27 - DrWeb 5.0.2.03300 2011.04.27 - Emsisoft 5.1.0.5 2011.04.27 - eSafe 7.0.17.0 2011.04.26 - eTrust-Vet 36.1.8294 2011.04.27 - F-Prot 4.6.2.117 2011.04.27 - F-Secure 9.0.16440.0 2011.04.27 - Fortinet 4.2.257.0 2011.04.27 - GData 22 2011.04.27 - Ikarus T3.1.1.103.0 2011.04.27 - Jiangmin 13.0.900 2011.04.27 - K7AntiVirus 9.98.4497 2011.04.27 - Kaspersky 9.0.0.837 2011.04.27 - McAfee 5.400.0.1158 2011.04.27 - McAfee-GW-Edition 2010.1D 2011.04.27 - Microsoft 1.6802 2011.04.27 - NOD32 6076 2011.04.27 - Norman 6.07.07 2011.04.27 - Panda 10.0.3.5 2011.04.27 - PCTools 7.0.3.5 2011.04.27 - Prevx 3.0 2011.04.27 - Rising 23.55.02.06 2011.04.27 - Sophos 4.64.0 2011.04.27 - SUPERAntiSpyware 4.40.0.1006 2011.04.27 - Symantec 20101.3.2.89 2011.04.27 - TheHacker 6.7.0.1.184 2011.04.27 - TrendMicro 9.200.0.1012 2011.04.27 - TrendMicro-HouseCall 9.200.0.1012 2011.04.27 - VBA32 3.12.16.0 2011.04.27 - VIPRE 9137 2011.04.27 - ViRobot 2011.4.27.4433 2011.04.27 - VirusBuster 13.6.324.0 2011.04.27 -

Salut MoJac, Je comprends bien que cela ne soit pas facile pour toi, et il fait des maisons pleine de monde... Ce sont des moment très agréables en général! Alors, j'avais mis en visible les fichiers cachés pour pouvoir avoir accès aux dossier Temp. Je ne pouvais pas le vider complément depuis ma session, mais ayant une session différente sur l'odinateur, j'ai pu le vider (après le dernier ComboFix). Le soucis est que je ne rapelle pas du fameux fichier DWH et que le ne le trouve pas désormais. Je n'ai pas de trace d'un autre DWHx.tmp. Je n'ai pas eu de nouvelle alerte depuis et le pc semble tourner de façon plus normale depuis le dernier ComboFix (plus de processus qui se lance tout seul). A voir si ça tient. Je garde tes conseils sous la main en cas de nouvelle alerte et je posterai le rapport. Merci encore

Salut MoJac, Merci pour ta réponse, pas de soucis, tu m'avais dit que tu serais difficilement joignable. Je n'ai rien fait de particulier en terme de surf (plutôt de sites genre le monde.fr ou mon mail sur yahoo...)... Côté environnement réseau, il semble que je sois la seule avec un soucis, alors je ne pense pas non plus de ce côté là. La machine a toujours tendance à ramer. J'ai regardé dans le gestionnaire de tâche pour voir quelles appli pompaient la mémoire et suivant le moment, c'est un programme dans Symmantec (RtvScan.exe), soit un plugin de Firefox (plugin-containec.exe), soit AAWTray.exe. Je n'ai pas réussi à vider tout le fichier temp... Sinon, j'ai relancé un ComboFix (rappart ci-dessous). @+

Salut, Bon je n'ai pas eu de problème d'alertes jusque là... juste que ça rame un peu mais là, je reviens devant mon écran de pc et là, j'ai une notification Symantec Endpoint protection que voici:

OK, je suis en train de faire toutes ces suppressions. Merci encore pour ton expertise! Je te tiens au courant de l'évolution dans les prochains jours. J'ai juste une questions, les supports USB que j'ai connecté pendant les différentes opérations de nettoyage sont-il contaminés? Faut-il faire quelque chose pour les vérifier? Bonne semaine

Bonjour MoJac, Je viens de faire ce que tu m'a indiqué. Voilà les rapport. La machine est peut-être encore un peu lente, mais je n'ai pas constaté de comportement anormal pour le moment... Je te tiens au courant quand j'aurais fait un peu plus dessus.

OK on verra demain Voila le rapport OTL.txt

Je n'en ai pas eu pour le moment...

Côté comportement pc, je vois qu'il y a des mises à jours automatiques de microsoft qui sont en train d'être téléchargées... Je ne sais pas si ça peut être significatif, mais quand Apollo m"avait suggéré d'aller sur microsoft update via IE8 Pour le reste, je n'ai plus l'air d'avoir autant d'alerte symantec dès que je suis sur internet... A voir à l'usage.

Rapport TDSSkiller (et oui.... il s'est lancé!!!! UNE PREMIERE) Au fait, il a trouvé 1 threat mais l'option skip été sélectionnée dans la fenêtre de résultats

Manips faites...

Une petite question rapide... Doit-il y avoir une espace ou pas dans la commande MBRFix restorembr c:\ MBR_2011-04-23.bin (espace entre le back slash et MBR) Il y en a un dans le commande copiee dans notepad et il n'y en a pas dans le copie d'ecran MBRFix

Bonjour MoJac et Apollo, Voici le lien vers le fichier MBR cree par MBRBackup. Pour être certaine de ne pas faire de bétise (dans le doute qu'il ne soit infecté), j'ai protégé le fichier dans son archive zip par le même mot de passe que pour le précédent. Ce fichier est toujours sur mon bureau, j'en ai une copie sur USB. L'autre est toujours sur C:\ avec une copie sur USB également. Cijoint.fr - Service gratuit de dépôt de fichiers

OK, de plus en plus étrange Virus total a considéré ce fichier comme déjà analysé (?) et lorsque j'ai redemandé une analyse le fichier ne semble pas contaminé Voila le rapport Antivirus Version Last Update Result AhnLab-V3 2011.04.24.01 2011.04.23 - AntiVir 7.11.6.252 2011.04.23 - Antiy-AVL 2.0.3.7 2011.04.23 - Avast 4.8.1351.0 2011.04.23 - Avast5 5.0.677.0 2011.04.23 - AVG 10.0.0.1190 2011.04.23 - BitDefender 7.2 2011.04.23 - CAT-QuickHeal 11.00 2011.04.23 - ClamAV 0.97.0.0 2011.04.23 - Commtouch 5.3.2.6 2011.04.23 - Comodo 8449 2011.04.23 - DrWeb 5.0.2.03300 2011.04.23 - Emsisoft 5.1.0.5 2011.04.23 - eSafe 7.0.17.0 2011.04.22 - eTrust-Vet 36.1.8286 2011.04.22 - F-Prot 4.6.2.117 2011.04.23 - F-Secure 9.0.16440.0 2011.04.23 - Fortinet 4.2.257.0 2011.04.23 - GData 22 2011.04.23 - Ikarus T3.1.1.103.0 2011.04.23 - Jiangmin 13.0.900 2011.04.23 - K7AntiVirus 9.98.4458 2011.04.23 - Kaspersky 7.0.0.125 2011.04.23 - McAfee 5.400.0.1158 2011.04.23 - McAfee-GW-Edition 2010.1D 2011.04.23 - Microsoft 1.6802 2011.04.23 - NOD32 6066 2011.04.23 - Norman 6.07.07 2011.04.23 - Panda 10.0.3.5 2011.04.23 - PCTools 7.0.3.5 2011.04.21 - Prevx 3.0 2011.04.23 - Rising 23.54.05.03 2011.04.23 - Sophos 4.64.0 2011.04.23 - SUPERAntiSpyware 4.40.0.1006 2011.04.23 - Symantec 20101.3.2.89 2011.04.23 - TheHacker 6.7.0.1.180 2011.04.23 - TrendMicro 9.200.0.1012 2011.04.23 - TrendMicro-HouseCall 9.200.0.1012 2011.04.23 - VBA32 3.12.16.0 2011.04.22 - VIPRE 9098 2011.04.23 - ViRobot 2011.4.23.4426 2011.04.23 - VirusBuster 13.6.318.3 2011.04.23 - Je serai beaucoup plus en ligne demain Merci encore

Bonsoir MoJac et Apollo, Désolée de ne faire ces manipulations que si tard, mais depuis deux jours, j'ai eu d'autres choses à régler. Tout d'abord voilà le lien vers la 'gestion de disque' C'est très étrange car aucun disque n'apparait... mais lorsque je regarde par poste de travail, voici de que j'ai... Je n'y comprends pas grand chose! Voilà ce que me donne 'View Partition table' dans MBR backup Partition table for \\.\PhysicalDrive0 # Boot StartCyl StartHead StartSect EndCyl EndHead EndSect RelSect TotSect Type 0 Yes 1 1 0 1023 254 63 63 372948912 NTFS 1 No 961 0 63 1023 254 63 372948975 17767890 NTFS 2 No 0 0 0 0 0 0 0 0 Unknown file system 3 No 0 0 0 0 0 0 0 0 Unknown file system # : Partition number Boot : Is this partition marked as bootable? StartCyl : Start cylinder StartHead : Start head StartSect : Start sector EndCyl : End cylinder EndHead : End head EndSect : End sector RelSect : Number of sectors between MBR and first sector of the partition TotSect : Total number of sectors in partition Type : Type of partition Je lance maintenant l'analyse Virus Total

J'ai eu un gros soucis de lenteur de connexion lorsque j'ai voulu envoyé le MBR compressé à MoJac. Est-ce que tu pourras lui faire suivre Apollo? Merci

Dernier rapport VRT (Il est normal qu'il ait trouvé deux fichier MBR, car je l'avais copier-coller pour qu'il retourne dans C:\ mais il en existait encore une copie en quarantaine, maintenant c'est comme il le faut, mais toujours contaminé et toujours pas nettoyé

Non, le démarrage ne s'est pas fait depuis CureIt, Je l'ai localisé, mais il est toujours dans la quarantaine!

Ce n'est pas dans la quarantaine de Symantec mais dans celle DrWEB... Pour la restauration, je procède comment?

Voila le rapport du online scanner (le fichier est maintenant en quarantaine et plus directement sur C:) Statistics: Physical0MBR.bin - infected by Rootkit.Win32.TDSS.mbr Known viruses: 5301634 Updated: 21-04-2011 File size (Kb): 1 Virus bodies: 1 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 Et pour Virus total Antivirus Version Last Update Result AhnLab-V3 2011.04.21.01 2011.04.21 - AntiVir 7.11.6.219 2011.04.21 - Antiy-AVL 2.0.3.7 2011.04.21 - Avast 4.8.1351.0 2011.04.20 Alureon-G@mbr Avast5 5.0.677.0 2011.04.20 Alureon-G@mbr AVG 10.0.0.1190 2011.04.20 Win32/Alureon.MBR BitDefender 7.2 2011.04.21 Rootkit.MBR.TDSS.B (Boot image) CAT-QuickHeal 11.00 2011.04.20 Bootkit.TDSS.TDL4 ClamAV 0.97.0.0 2011.04.21 - Commtouch 5.3.2.6 2011.04.21 - Comodo 8417 2011.04.21 - DrWeb 5.0.2.03300 2011.04.21 BackDoor.Tdss.4005 Emsisoft 5.1.0.5 2011.04.21 Rootkit.Win32.TDSS!IK eSafe 7.0.17.0 2011.04.20 - eTrust-Vet 36.1.8282 2011.04.20 Dos/Alureon F-Prot 4.6.2.117 2011.04.21 - F-Secure 9.0.16440.0 2011.04.21 Rootkit.MBR.TDSS.B \(Boot image\) Fortinet 4.2.257.0 2011.04.21 BOOT/TDSS.A GData 22 2011.04.21 Rootkit.MBR.TDSS.B Ikarus T3.1.1.103.0 2011.04.21 Rootkit.Win32.TDSS Jiangmin 13.0.900 2011.04.21 - K7AntiVirus 9.97.4439 2011.04.20 - Kaspersky 7.0.0.125 2011.04.21 Rootkit.Win32.TDSS.mbr McAfee 5.400.0.1158 2011.04.21 TDSS!mbr McAfee-GW-Edition 2010.1D 2011.04.20 TDSS!mbr Microsoft 1.6802 2011.04.20 Trojan:DOS/Alureon.A NOD32 6059 2011.04.21 - Norman 6.07.07 2011.04.20 TDSSmbr.A Panda 10.0.3.5 2011.04.20 - PCTools 7.0.3.5 2011.04.20 - Prevx 3.0 2011.04.21 - Rising 23.54.02.06 2011.04.20 - Sophos 4.64.0 2011.04.21 Troj/TdlMbr-B SUPERAntiSpyware 4.40.0.1006 2011.04.21 - Symantec 20101.3.2.89 2011.04.21 - TheHacker 6.7.0.1.180 2011.04.21 - TrendMicro 9.200.0.1012 2011.04.21 - TrendMicro-HouseCall 9.200.0.1012 2011.04.21 - VBA32 3.12.16.0 2011.04.20 - VIPRE 9077 2011.04.21 Trojan.Boot.Alureon.Gen (v) ViRobot 2011.4.21.4421 2011.04.21 - VirusBuster 13.6.313.2 2011.04.20 -

Bonjour Apollo, Ben non... toujours pas! La salle bête gène toujours autant! Bonne journee a toi aussi

Fini! Voilà le rapport Ca fait presque plaisir de lire quelque part 'eradiqué', mais j'attends d'avoir vos avis/conseils! Processus en mémoire: C:\WINDOWS\system32\svchost.exe:864;;BackDoor.Tdss.565;Eradiqué.; Physical0MBR.bin;C:\;BackDoor.Tdss.4005;Irréparable.Quarantaine.; OTL(2).exe;C:\Documents and Settings\Adm\Bureau;Trojan.Siggen2.25631;Irréparable.Quarantaine.; OTL(2).exe;C:\Documents and Settings\Adm\Mes documents\Téléchargements;Trojan.Siggen2.25631;Irréparable.Quarantaine.;