[Résolu] Infections multiples

[Le sioux]

Bonsoir PatOtj

 

Bien joué

 

* Comment se porte le PC à présent ?

 

* Est ce qu'Avira Antivir se met à jours automatiquement désormais ?

 

* Peux tu faire ceci stp : Rends toi sur VirusTotal

• Clique sur "Parcourir" et sélectionne le fichier en gras :
   

  C:\windows\S96DCFBA0.tmp

   
  
• Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".
  
• Si VirusTotal dit que le fichier a déjà été analysé, clique sur Ré-analyse le fichier maintenant.
  
• Il faut patienter car tu es sur une file d'attente.
  
• Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.
  
• Tuto : http://forum.pcastuces.com/scan_chez_virus_total-f31s15.htm (Merci à Philae)
  
• Note : Il est possible que tu aies besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés".
  Aide toi de B ) ici http://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.
  
• Poste le rapport en réponse stp.
  
• Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises
  

@ suivre

[PatOtj]

Le Centre de sécurité Windows n'affiche plus d'alerte mais je ne sais pas encore si Antivir va effectuer une mise à jour automatique

 

Pour VirusTotal, il y a un stud !

 

Je n'arrive pas à uploader le fichier

C:\windows\S96DCFBA0.tmp !

je le vois bien à l'endroit indiqué (en grisé) mais j'obtiens ce message une fois l'upload lancé :

0 bytes size received / Se ha recibido un archivo vacio

et si je passe par la version email il m'indique que le fichier à attacher ne s'attache pas !

[Le sioux]

Bonjour PatOtj

 

OK, apparemment un fichier pesant 0 ko ... on va voir si on peut le virer

 

1) Gmer

 

Clique sur Démarrer > Exécuter > Tapes cmd

Tape

gmer -del file "C:\WINDOWS\S96DCFBA0.tmp"

(en respectant bien les espaces) puis valide en appuyant sur Entrée puis ferme la fenêtre cmd.

 

 

2) Scan en ligne Kaspersky

 

Tuto de nico_dodo : http://forum.pcastuces.com/kaspersky_onlin...riel-f31s26.htm

 

Rends toi sur http://www.kaspersky.com/virusscanner avec Internet explorer et

• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• Clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment.
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route.
  

Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

• A la fin du scan, si des objets infectés sont découverts, clique sur Save report as...
  
• Choisis Bureau et nomme le rapport "Rapport Kaspersky"
  
• Dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.
  

--> Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier puis colle ce rapport dans ta prochaine réponse.

 

@ suivre.

 

Edit : Suppression d'une partie de la procédure proposée.

Modifié le 1 octobre 2009 par Le sioux

[PatOtj]

Pour le point 1, j'aurais besoin de précisons car si je fais Démarrer, Exécuter Cmd et que je copie/colle le contenu de la citation

gmer -del file "C:\WINDOWS\S96DCFBA0.tmp"

j'ai un message

'gmer' n'est pas reconnu en tant que commande interne ou externe , ...

 

Pour le point 2, je ne parviens pas à installer l'active X sur IE mais ça fonctionne sous Firefox

 

==> j'attends donc le complément d'info sur le point 1 avant de lancer le 2 sous firefox

Modifié le 1 octobre 2009 par PatOtj

[Le sioux]

Bonsoir PatOtj

 

Vite fait avant de filer au boulot

 

Passe à l'étape 2 stp.

 

@ plus tard.

[PatOtj]

Bon j'acvais oublié de désactiver antivir et ce dernier a réagit à +/- 30% du scan Kapersky => j'ai mis en quarantaine le(s) fichier(s) détecté(s) puis j'ai désactivé Antivir Guard

 

Voici le résultat final de Kapersky :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Friday, October 2, 2009

Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Thursday, October 01, 2009 21:18:37

Records in database: 2929988

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

K:\

 

Scan statistics:

Objects scanned: 203924

Threats found: 5

Infected objects found: 8

Suspicious objects found: 0

Scan duration: 12:43:42

 

 

File name / Threat / Threats count

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP442\A0077018.dll Infected: Trojan.Win32.Scar.xmh 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP449\A0079941.dll Infected: Trojan.Win32.Monder.bzea 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP449\A0079945.dll Infected: Trojan.Win32.Monder.bzea 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP449\A0079949.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.balk 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP450\A0081113.exe Infected: P2P-Worm.Win32.Palevo.jaz 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP451\A0081156.exe Infected: Packed.Win32.Black.a 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP451\A0081157.dll Infected: Trojan.Win32.Scar.xmh 1

C:\System Volume Information\_restore{890D0020-EAA1-4E8B-AFB4-FB6092C8CE50}\RP451\A0081158.dll Infected: Trojan.Win32.Scar.xmh 1

 

Selected area has been scanned.

[Le sioux]

Bonjour PatOtj

 

C'est tout bon.

Ce qu'a trouvé le scan en ligne se trouve isolé dans la restauration, on la purgera afin de l'assainir par la suite.

• Double clique sur OTM.exe sur ton Bureau.
  
• Copie la liste qui se trouve en citation ci-dessous :
  

:files

C:\WINDOWS\S96DCFBA0.tmp

C:\WINDOWS\*.tmp

 

:commands

[emptytemp]

[reboot]

• et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
  
• Clique sur le bouton MoveIt!
  
• Attends la fin du travail de l'outil puis ferme OTM.
  

Note: Un redémarrage du PC pourra être nécessaire, clique sur Oui/Yes quand cela te sera demandé.

 

--> Poste en réponse :

 

* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

 

@ suivre.

[PatOtj]

Pour Antivir, la mise à jour a été faite ... et pas par moi ! je suppose donc qu'elle s'est faite automatiquement en mon absence

 

voici le rapport OTM :

 

All processes killed

========== FILES ==========

File move failed. C:\WINDOWS\S96DCFBA0.tmp scheduled to be moved on reboot.

File move failed. C:\WINDOWS\S96DCFBA0.tmp scheduled to be moved on reboot.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Babel

->Temp folder emptied: 82436318 bytes

->Temporary Internet Files folder emptied: 20606028 bytes

->Java cache emptied: 25749465 bytes

->FireFox cache emptied: 73161607 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

%systemdrive% .tmp files removed: 0 bytes

File delete failed. C:\WINDOWS\S96DCFBA0.tmp scheduled to be deleted on reboot.

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 9280656 bytes

 

Total Files Cleaned = 201,48 mb

 

 

OTM by OldTimer - Version 3.0.0.6 log created on 10032009_083704

 

Files moved on Reboot...

File move failed. C:\WINDOWS\S96DCFBA0.tmp scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[Le sioux]

Hello PatOtj

 

On a bien bossé

Si tout es OK de ton coté, alors on va pouvoir conclure avec des conseils de sécurité dans un prochain message.

 

1) Désinstallation de ComboFix

 

Menu Démarrer , clique sur Exécuter puis copie-colle ComboFix /u

(il faut bien respecter l'espace entre ComboFix et /u)

Laisse se faire la désinstallation de ComboFix.

 

2) ToolsCleaner de A.Rothstein et DJ Quiou

 

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce à ToolsCleaner de A.Rothstein et DJ Quiou.

 

Télécharge ToolsCleaner de A.Rothstein et DJ Quiou sur ton Bureau.

• Double-clique sur ToolsCleaner2.exe et laisse-le travailler
  
• Clique sur Recherche et laisse-le scan se terminer.
  
• Clique sur Suppression pour finaliser.
  
• Tu peux, si tu le souhaites, te servir des Options facultatives.
  
• Clique sur Quitter, pour que le rapport puisse se créer.
  

--> Poste moi le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

 

@ suivre.

[PatOtj]

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\Combofix.txt: trouvé !

C:\_OTM: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\Babel\Bureau\Gmer.exe: trouvé !

C:\Documents and Settings\Babel\Bureau\OTM.exe: trouvé !

C:\Documents and Settings\Babel\Bureau\Rsit.exe: trouvé !

 

---------------------------------

--> Suppression:

 

C:\Documents and Settings\Babel\Bureau\Gmer.exe: supprimé !

C:\Documents and Settings\Babel\Bureau\OTM.exe: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\Babel\Bureau\Rsit.exe: supprimé !

C:\_OTM: supprimé !

C:\Rsit: supprimé !

 

Voilà