PC infecte par un Backdoor

[pear]

Des traces!

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

:Files

c:\windows\shellnew\rakyatkelaparan.exe

c:\documents and settings\sophie\local settings\application data\br6525on.exe

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

 

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

Télécharger Usb Fix de C_XX & Chiquitine29, sur le bureau

Installez le.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Lancer l'installation avec les paramètres par défault

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option (vaccination)

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela:

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

Enregistrez sur le bureau sous regis.reg.

Attention;c'est regis.reg et non regis.txt ou regis.reg.txt

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Pour Désinstaller

Double clic sur le raccourci UsbFix sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

[nicoferra]

j'ai eu un message d'erreur en lancant l'option 2 de USBfix (pas eu le temps de le lire) puis redemarage automatique du pc

 

puis la supression est repartiti automatiquement au demarrage

[pear]

Avez vous le rapport?

 

le rapport UsbFix.txt est sauvegardé à la racine du disque

[nicoferra]

Voici le rapport OTM

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

File/Folder c:\windows\shellnew\rakyatkelaparan.exe not found.

File/Folder c:\documents and settings\sophie\local settings\application data\br6525on.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: All Users

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 33170 bytes

 

User: SOPHIE

->Temp folder emptied: 1216004795 bytes

->Temporary Internet Files folder emptied: 1098454 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 43911626 bytes

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 19569 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_4fc.dat scheduled to be deleted on reboot.

Windows Temp folder emptied: 6245903 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1208,64 mb

 

 

OTM by OldTimer - Version 3.0.0.5 log created on 08062009_164638

 

Files moved on Reboot...

File C:\WINDOWS\temp\Perflib_Perfdata_4fc.dat not found!

 

Registry entries deleted on Reboot...

 

 

 

 

Le rapport UsbFix 1

 

############################## | UsbFix V6.014 |

 

User : SOPHIE (Administrateurs) # ACER-79F6FF2248

Update on 04/08/09 by Chiquitine29 & C_XX

Start at: 16:55:24 | 06/08/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Celeron® M processor 1.50GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.30 [ (!) Disabled | Updated ]

 

C:\ -> Disque fixe local # 35,06 Go (17,21 Go free) [ACER] # FAT32

D:\ -> Disque fixe local # 35,55 Go (22,51 Go free) [ACERDATA] # FAT32

E:\ -> Disque CD-ROM # 372,28 Mo (0 Mo free) [GRTMUPD_FR] # CDFS

F:\ -> Disque fixe local # 298,02 Go (100,45 Go free) [DISK DUR EX] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\sistray.exe

C:\Documents and Settings\SOPHIE\Bureau\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Documents and Settings\SOPHIE\Bureau\SetPoint\SetPoint.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

Présent ! C:\WINDOWS\antiv.exe

Présent ! E:\autorun.inf

 

################## | Other | http://www.virustotal.com |

 

Suspect ! C:\dotnetfx\DOTNETFX.EXE

Suspect ! C:\karcher\karcher.exe

Suspect ! E:\DOTNETFX\DOTNETFX.EXE

 

################## | Registre # Clés Run infectieuses |

 

 

################## | Registre # Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{0b5a0d9e-d3fa-11dd-a272-0016362e8103}

Shell\AutoRun\command =F:\setupSNK.exe

 

HKCU\..\..\Explorer\MountPoints2\{6b6684f4-3a3c-11dd-a22b-0016362e8103}

Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.014 ! |

 

 

Le rapport Usb Fix2

 

 

############################## | UsbFix V6.014 |

 

User : SOPHIE (Administrateurs) # ACER-79F6FF2248

Update on 04/08/09 by Chiquitine29 & C_XX

Start at: 17:17:24 | 06/08/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Celeron® M processor 1.50GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 35,06 Go (17,17 Go free) [ACER] # FAT32

D:\ -> Disque fixe local # 35,55 Go (22,51 Go free) [ACERDATA] # FAT32

E:\ -> Disque CD-ROM # 372,28 Mo (0 Mo free) [GRTMUPD_FR] # CDFS

F:\ -> Disque fixe local # 298,02 Go (100,45 Go free) [DISK DUR EX] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

(!) Non supprimé ! E:\autorun.inf

 

################## | Other |

 

 

################## | Suspect ... | http://www.virustotal.com |

 

Suspect ! C:\dotnetfx\DOTNETFX.EXE

Suspect ! C:\karcher\karcher.exe

Suspect ! E:\DOTNETFX\DOTNETFX.EXE

 

################## | Registre # Clés Run infectieuses |

 

 

################## | Registre # Mountpoints2 |

 

 

################## | Listing des fichiers présent |

 

[05/08/2004 05:00|-rahs----|4952] -> C:\Bootfont.bin

[06/08/2009 15:58|-rahs----|252240] -> C:\ntldr

[05/08/2004 05:00|-rahs----|47564] -> C:\NTDETECT.COM

[05/08/2009 17:18|-rahs----|216] -> C:\boot.ini

[06/08/2005 20:09|--a------|0] -> C:\CONFIG.SYS

[06/08/2009 11:50|---hs----|7] -> C:\AUTOEXEC.BAT

[06/08/2005 20:09|-rahs----|0] -> C:\IO.SYS

[06/08/2005 20:09|-rahs----|0] -> C:\MSDOS.SYS

[09/08/2005 09:00|-rahs----|75] -> C:\Preload.aaa

[01/07/2009 16:52|--ah-----|244] -> C:\sqmnoopt16.sqm

[05/08/2009 17:18|--ah-----|244] -> C:\sqmnoopt08.sqm

[05/08/2009 17:18|--ah-----|232] -> C:\sqmdata08.sqm

[01/07/2009 16:52|--ah-----|232] -> C:\sqmdata16.sqm

[09/07/2009 07:37|--ah-----|244] -> C:\sqmnoopt03.sqm

[09/07/2009 07:37|--ah-----|268] -> C:\sqmdata03.sqm

[27/10/2008 09:39|--a------|510] -> C:\updatedatfix.log

[05/08/2009 16:15|--ah-----|244] -> C:\sqmnoopt06.sqm

[05/08/2009 16:15|--ah-----|232] -> C:\sqmdata06.sqm

[03/08/2009 17:26|--ah-----|244] -> C:\sqmnoopt01.sqm

[03/08/2009 17:26|--ah-----|232] -> C:\sqmdata01.sqm

[29/06/2009 09:23|--ah-----|244] -> C:\sqmnoopt14.sqm

[29/06/2009 09:23|--ah-----|232] -> C:\sqmdata14.sqm

[06/08/2009 16:41|--a------|13030] -> C:\PDOXUSRS.NET

[?|?|?] -> C:\hiberfil.sys

[06/08/2009 12:05|--a------|18473] -> C:\lopR.txt

[06/08/2009 14:09|--a------|9993] -> C:\JavaRa.log

[06/08/2009 17:18|--a------|3550] -> C:\UsbFix.txt

[08/07/2009 11:45|--ah-----|244] -> C:\sqmnoopt00.sqm

[08/07/2009 11:45|--ah-----|232] -> C:\sqmdata00.sqm

[08/07/2009 11:45|--ah-----|268] -> C:\sqmdata02.sqm

[03/08/2009 17:31|--ah-----|244] -> C:\sqmnoopt04.sqm

[03/08/2009 17:31|--ah-----|268] -> C:\sqmdata04.sqm

[05/08/2009 16:03|--ah-----|244] -> C:\sqmnoopt05.sqm

[05/08/2009 16:03|--ah-----|232] -> C:\sqmdata05.sqm

[05/08/2009 16:28|--ah-----|244] -> C:\sqmnoopt07.sqm

[05/08/2009 16:28|--ah-----|232] -> C:\sqmdata07.sqm

[05/08/2009 17:18|--ah-----|244] -> C:\sqmnoopt09.sqm

[05/08/2009 17:18|--ah-----|268] -> C:\sqmdata09.sqm

[05/08/2009 17:50|--ah-----|244] -> C:\sqmnoopt10.sqm

[05/08/2009 17:50|--ah-----|268] -> C:\sqmdata10.sqm

[06/08/2009 13:37|--ah-----|244] -> C:\sqmnoopt11.sqm

[06/08/2009 13:37|--ah-----|268] -> C:\sqmdata11.sqm

[27/06/2009 08:57|--ah-----|244] -> C:\sqmnoopt12.sqm

[27/06/2009 08:57|--ah-----|232] -> C:\sqmdata12.sqm

[27/06/2009 09:07|--ah-----|244] -> C:\sqmnoopt13.sqm

[27/06/2009 09:07|--ah-----|268] -> C:\sqmdata13.sqm

[29/06/2009 09:24|--ah-----|244] -> C:\sqmnoopt15.sqm

[29/06/2009 09:24|--ah-----|268] -> C:\sqmdata15.sqm

[03/07/2009 21:46|--ah-----|244] -> C:\sqmnoopt17.sqm

[03/07/2009 21:46|--ah-----|232] -> C:\sqmdata17.sqm

[03/07/2009 21:47|--ah-----|244] -> C:\sqmnoopt18.sqm

[03/07/2009 21:47|--ah-----|268] -> C:\sqmdata18.sqm

[04/07/2009 18:42|--ah-----|244] -> C:\sqmnoopt19.sqm

[04/07/2009 18:42|--ah-----|232] -> C:\sqmdata19.sqm

[07/02/2007 11:45|--a------|1893] -> C:\MKDEMSG.LOG

[07/02/2007 11:45|--a------|2560] -> C:\MKDEWE.TRN

[?|?|?] -> C:\pagefile.sys

[08/07/2009 11:45|--ah-----|244] -> C:\sqmnoopt02.sqm

[26/03/2007 10:34|--ah-----|54824] -> C:\._IMG_0106.jpg

[13/07/2009 09:59|--a------|38538] -> D:\IMG_0572.JPG

[13/07/2009 09:59|--a------|43508] -> D:\IMG_0493.JPG

[07/04/2009 19:55|--a------|429027] -> D:\IMG_5948.JPG

[14/04/2008 14:00|-r-------|1054208] -> E:\AUTORUN.DLL

[14/04/2008 14:00|-r-------|19456] -> E:\AUTORUN.EXE

[14/04/2008 14:00|-r-------|64] -> E:\AUTORUN.INF

[14/04/2008 14:00|-r-------|6388] -> E:\FAQ.HTM

[14/04/2008 14:00|-r-------|17136] -> E:\LISEZMOI.HTM

[14/04/2008 14:00|-r-------|158208] -> E:\SPWIZENG.DLL

[14/04/2008 14:00|-r-------|324222504] -> E:\WINDOWSXP-KB936929-SP3-X86-FRA.EXE

[14/04/2008 14:00|-r-------|6895] -> E:\WINXP_LOGO_HORIZ_SM.GIF

[14/04/2008 14:00|-r-------|97] -> E:\XPSP3.CMD

[29/08/2007 15:14|--a------|586] -> F:\Picasa2.lnk

 

################## | Vaccination |

 

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.014 ! |

[pear]

Pour moi, c'est bon .

 

Si c'est aussi votre avis:

lancer OTM et cliquer sur le bouton "CleanUp" et confirmer par "Yes" aux invites.

OTM va redémarrer (si nécessaire) et supprimer toutes les traces d'outils,

OTM se supprime lui-même avec "CleanUp"

[nicoferra]

Ok je fais ca demain matin

 

merci une fois de plus pour ta compétence et ta patience pear