[Résolu] Impossible de ré-installer Antivir PE Classic - infection Bag

[Welaczek]

Et voilà le log ToolsCleaner... je m'occupe maintenant du Rootkit...

 

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\Combofix.txt: trouvé !

C:\TB.txt: trouvé !

C:\FindyKill.txt: trouvé !

C:\Toolbar SD: trouvé !

C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\Pascal\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\Pascal\Bureau\rustbfix.exe: trouvé !

C:\Documents and Settings\Pascal\Bureau\ToolBarSD.exe: trouvé !

C:\Documents and Settings\Pascal\Mes documents\Import\SmitFraudfix: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

 

---------------------------------

--> Suppression:

 

C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Documents and Settings\Pascal\Bureau\HijackThis.lnk: supprimé !

C:\Documents and Settings\Pascal\Bureau\rustbfix.exe: supprimé !

C:\Documents and Settings\Pascal\Bureau\ToolBarSD.exe: supprimé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !

C:\Combofix.txt: supprimé !

C:\TB.txt: supprimé !

C:\FindyKill.txt: supprimé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !

C:\Toolbar SD: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Documents and Settings\Pascal\Mes documents\Import\SmitFraudfix: supprimé !

C:\Program Files\Trend Micro\HijackThis: supprimé !

 

Corbeille vidée!

Fichiers temporaires nettoyés !

[Apollo]

Salut,

 

Il faut appliquer la solution de Malekal, à savoir:

 

# Téléchargez ce fix parejvindh sur votre bureau : http://www.uploads.ejvindh.net/rustbfix.exe ou http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

# Double-cliquez rustbfix.exe afin de lancer l'outil.

# Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

# Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

 

Si désinfection il y a , cela voudra dire que le pc a été réinfecté avant-même que ce topic ne soit terminé.

 

****************************

OTMOVEIT 3

 

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OtMoveIt3

 

• Double-clique sur OTMoveIt3.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
   
  Vérifie que la case Unregister Dll's and OCX's.exe est bien cochée!
   
  
• Copie l'entièreté du code ci-dessous (depuis :Processes)
  

  :Processes
  
  explorer.exe
  
  :Files
  C:\DOCUME~2\Pascal\Mes documents\Import\serial_Keygen_-_BVRP_Mobile_Media_Studio_FR
  C:\DOCUME~2\Pascal\Mes documents\Import\Nero 63
  
  :Reg
  
  :Commands
  [emptytemp]
  [start explorer]
  [reboot]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTMoveIt3 en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

@++

Modifié le 19 avril 2009 par Apollo

[Welaczek]

Le log de rustbfix, qui ne trouve rien !

 

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************

19/04/2009 14:39:15,22

 

No Rustock.b-rootkits found

 

******************************* End of Logfile ********************************

[Apollo]

Re,

 

C'est plutôt bon signe, on va faire une dernière vérif:

 

Télécharge Rooter d'Eric_71 et enregistre-le sur ton bureau.

 

Double clique sur l'icône et laisse travailler l'outil.

 

A la fin, le bloc-note s'ouvre avec le rapport; copie/colle-le dans ta réponse stp.

Il se trouve également sur le C:\rooter.txt

 

Ferme ensuite la fenêtre du bloc-note.

 

@++

[Welaczek]

Un petit log de OtMoveIt3...

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

File/Folder C:\DOCUME~2\Pascal\Mes documents\Import\serial_Keygen_-_BVRP_Mobile_Media_Studio_FR not found.

C:\DOCUME~2\Pascal\Mes documents\Import\Nero 63 moved successfully.

========== REGISTRY ==========

========== COMMANDS ==========

File delete failed. C:\DOCUME~2\Pascal\LOCALS~1\Temp\etilqs_YhN24Q2cKaDFMCjNP0d9 scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_344.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Unable to start explorer.exe

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04192009_144707

 

Files moved on Reboot...

File C:\DOCUME~2\Pascal\LOCALS~1\Temp\etilqs_YhN24Q2cKaDFMCjNP0d9 not found!

File C:\WINDOWS\temp\Perflib_Perfdata_344.dat not found!

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\urlclassifier3.sqlite moved successfully.

C:\Documents and Settings\Pascal\Local Settings\Application Data\Mozilla\Firefox\Profiles\12x4n9ch.default\XUL.mfl moved successfully.

[Apollo]

Tu peux virer le dosisier sur C:\_OtMoveIt ainsi que l'icône; vide la corbeille.

 

++

[Welaczek]

Hello,

 

Quelle poisse, ce log-ci retrouve l'infection pe386 !

 

C'est rageant, j'en ai eu pour 7 heures de scan avec eScan et Malware, et ils n'ont rien trouvé de leur côté !

 

Peut-être devrais-je ouvrir un autre topic pour ne pas faire désordre ???

 

 

 

 

Microsoft Windows XP Home Edition (5.1.2600) Service Pack 2

 

C:\ [Fixed] - NTFS - (Total:28560 Mo/Free:1334 Mo)

D:\ [Removable] (Total:0 Mo/Free:0 Mo)

E:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)

 

23/04/2009|13:08

 

----------------------\\ Processes..

 

--Locked-- [system Process]

---------- System

---------- \SystemRoot\System32\smss.exe

---------- \??\C:\WINDOWS\system32\csrss.exe

---------- \??\C:\WINDOWS\system32\winlogon.exe

---------- C:\WINDOWS\system32\services.exe

---------- C:\WINDOWS\system32\lsass.exe

---------- C:\WINDOWS\system32\svchost.exe

---------- C:\WINDOWS\system32\svchost.exe

--Locked-- cmdagent.exe

---------- C:\WINDOWS\System32\svchost.exe

---------- C:\WINDOWS\system32\svchost.exe

---------- C:\WINDOWS\system32\spoolsv.exe

---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

---------- C:\WINDOWS\Explorer.EXE

---------- C:\WINDOWS\System32\svchost.exe

---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

---------- C:\WINDOWS\system32\HPConfig.exe

---------- C:\Program Files\Java\jre6\bin\jqs.exe

---------- C:\Program Files\Fichiers communs\Motive\McciCMService.exe

---------- C:\WINDOWS\system32\RadioSvr.exe

---------- C:\WINDOWS\System32\svchost.exe

---------- C:\WINDOWS\essspk.exe

---------- C:\WINDOWS\system32\S3tray2.exe

---------- C:\WINDOWS\system32\dla\tfswctrl.exe

---------- C:\Program Files\iTunes\iTunesHelper.exe

---------- C:\PROGRA~1\HEWLET~1\ONE-TO~1\OneTouch.EXE

---------- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

---------- C:\Program Files\QuickHelp2\QuickHelp.exe

---------- C:\Program Files\Winamp\winampa.exe

---------- C:\WINDOWS\SOUNDMAN.EXE

---------- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

---------- C:\Program Files\COMODO\SafeSurf\cssurf.exe

--Locked-- cfp.exe

---------- C:\WINDOWS\system32\ctfmon.exe

---------- C:\Program Files\iPod\bin\iPodService.exe

---------- C:\WINDOWS\System32\wbem\wmiapsrv.exe

---------- C:\WINDOWS\system32\svchost.exe

---------- C:\WINDOWS\system32\cmd.exe

---------- C:\Rooter$\RK.exe

 

----------------------\\ Search..

 

----------------------\\ ROOTKIT !!

 

HKLM\SYSTEM\ControlSet001\Services\Pe386

 

 

1 - "C:\Rooter$\Rooter_1.txt" - 21/04/2009|13:31

2 - "C:\Rooter$\Rooter_2.txt" - 23/04/2009|13:10

 

----------------------\\ Scan completed at 13:10

[Apollo]

Bonjour.

 

Je t'ai mp hier soir.

[Welaczek]

En tous cas l'infection Bagle a disparu.

 

Il me reste ce rootkit, mais c'est un autre problème.

 

Merci infiniment à Apollo pour son aide et sa disponibilité !

[Apollo]

Salut,

 

On ne va pas te laisser partir avec une infection.

 

Je me suis renseigné et j'attends une réponse.

 

EDIT: renseignement pris, il semblerait que le rootkit découvert par Rooter ne soit pas actif, sinon il aurait été mis en évidence par ComboFix et l'outil approprié (celui que Malekal propose et que tu as passé).

 

Donc je pense que tu peux être tranquille.

 

Si cela n'as pas encore été fait, désinstalle ComboFix et FindyKill:

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

BadaBoum /u

 

Vire ces dossiers: C:\Qoobox et C:\ComboFix puis vide la corbeille. (si tu les trouvais encore).

Si la commande ne fonctionnait pas, vire tout à la main.

 

Pour FindyKill, tu le lance et choisis l'option 3 et tu valides par Enter.

 

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Options facultatives

 

A utiliser si vous le souhaitez :

 

Création d'un nouveau point de restauration (conseillé)

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

 

@+++

 

@++

Modifié le 2 mai 2009 par Apollo