[Résolu] Infection

[Thanos]

La suite >>

 

Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Kill Explorer]
[Unregister Dlls]
[Registry - Safe List]
< Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YN -> "" -> []
YN -> "EoEngine" -> []
YN -> "QlbCtrl.exe" -> ["C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" /Start]
YN -> "rs32net" -> %SystemRoot%\System32\rs32net.exe [C:\Windows\System32\rs32net.exe]
< RunOnce [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
YN -> "SoftwareHelper" -> %SystemDrive%\Utilisateurs\Izzo\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [C:\Users\Izzo\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce]
[Files/Folders - Created Within 90 Days]
NY -> TDSScrrx.dll -> %SystemRoot%\System32\TDSScrrx.dll
[Files/Folders - Modified Within 90 Days]
NY -> TDSScrrx.dll -> %SystemRoot%\System32\TDSScrrx.dll
[Custom Items]
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys]
:files
C:\Windows\system32\drivers\TDSSmbcb.sys
C:\Windows\system32\TDSScrrx.dll
C:\Windows\System32\drivers\TDSSmbcb.VIR
C:\Users\Izzo\AppData\Local\Temp\TDSSea00.tmp
:end
[Empty Temp Folders]
[Start Explorer]

L'exécution devrait être très rapide.

Un redémarrage est peut être nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine si cela t'es proposé. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

[chatgat]

Le résultat :

No active process named Explorer.EXE was found!

[Registry - Safe List]

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\EoEngine deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\QlbCtrl.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\rs32net deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\\SoftwareHelper deleted successfully.

[Files/Folders - Created Within 90 Days]

LoadLibrary failed for C:\Windows\System32\TDSScrrx.dll

C:\Windows\System32\TDSScrrx.dll NOT unregistered.

C:\Windows\System32\TDSScrrx.dll moved successfully.

[Files/Folders - Modified Within 90 Days]

File C:\Windows\System32\TDSScrrx.dll not found!

[Custom Items]

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys\ not found.

========== FILES ==========

File/Folder C:\Windows\system32\drivers\TDSSmbcb.sys not found.

File/Folder C:\Windows\system32\TDSScrrx.dll not found.

File/Folder C:\Windows\System32\drivers\TDSSmbcb.VIR not found.

File/Folder C:\Users\Izzo\AppData\Local\Temp\TDSSea00.tmp not found.

[Empty Temp Folders]

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

RecycleBin -> emptied.

Explorer started successfully

< End of fix log >

OTScanIt2 by OldTimer - Version 1.0.7.1 fix logfile created on 02052009_223548

[Thanos]

Très bien

 

On va finir avec ce scan en ligne à faire quand tu pourras >>

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Le scan doit être fait avec Internet Explorer

TUTO scan en ligne Kaspersky: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Reçois tu encore des alertes d'Antivir ?

[chatgat]

Je reçoit plus d'alertes d'Antivir, jusque là en tout cas.

 

Un trojan détecté, voici le rapport Kaspersky :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Friday, February 6, 2009

Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, February 05, 2009 22:17:01

Records in database: 1756451

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

 

Scan statistics:

Files scanned: 130593

Threat name: 1

Infected objects: 0

Suspicious objects: 1

Duration of the scan: 01:57:55

 

 

File name / Threat name / Threats count

C:\Users\Izzo\AppData\Local\Temp\TDSSea2f.tmp Suspicious: Trojan.Win32.Patched.dy 1

 

The selected area was scanned.

[Thanos]

salut

 

Ok, on va éliminer le fichier comme ceci >>

 

1°) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Files/Folders - Created Within 90 Days]
NY -> rsit -> %SystemDrive%\rsit
[Custom Items]
:files
C:\Users\Izzo\AppData\Local\Temp\TDSSea2f.tmp
:end
[Empty Temp Folders]
[Reboot]

L'exécution devrait être très rapide.

Un redémarrage est nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

 

2°) Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier Malwarebytes' Anti-Malware.exe pour lancer le programme.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Poste les deux rapports: après ca, ca doit être bon

[chatgat]

Salut,

 

Pour la 1ere partie, j'ai copié/collé, fait run fix puis redémarré, mais pas de bloc note le redémarrage fini...

 

La 2ème partie je la ferai plus tars, la je vais rembaucher.

 

Merci encore.

[chatgat]

1) J'ai regardé les rapports présent dans le fichier et celui qui pourrai correspondre serait celui ci :

 

[Files/Folders - Created Within 90 Days]

C:\rsit folder moved successfully.

[Custom Items]

========== FILES ==========

C:\Users\Izzo\AppData\Local\Temp\TDSSea2f.tmp moved successfully.

[Empty Temp Folders]

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

RecycleBin -> emptied.

< End of fix log >

OTScanIt2 by OldTimer - Version 1.0.7.1 fix logfile created on 02062009_134816

 

2) Le rapport Malewarebyte :

 

Malwarebytes' Anti-Malware 1.33

Version de la base de données: 1725

Windows 6.0.6001 Service Pack 1

 

06/02/2009 21:42:57

mbam-log-2009-02-06 (21-42-57).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 173254

Temps écoulé: 42 minute(s), 8 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Delete on reboot.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Thanos]

salut,

 

Le rapport OTScanIt2 est le bon

Est ce que le pc a redémarré après le scan avec MBAM ?

[chatgat]

Oui le PC a bien redémarré après le scan de MBAM.

 

Merci

[Thanos]

ok! je te pose la question parce que cette saleté n'est pas évidente à supprimer, et je veux m'assurer que MBAM a bien réussi à nettoyer.

 

On va recommencer l'opération (ca sera rapide!) >>

 

1°) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Custom Items]
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata]
[-HKEY_LOCAL_MACHINE\SOFTWARE\tdss]
:end
[Empty Temp Folders]
[Reboot]

L'exécution devrait être très rapide.

Un redémarrage est nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

 

2°) On refais un scan avec MBAM, mais rapide cette fois ci (5 minutes) >>

 

• Double clique sur le fichier Malwarebytes' Anti-Malware.exe pour lancer le programme.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Comment fonctionne le pc ?