[Résolu] TrustSoldier... et le reste sans doute

[guitoupapi]

En lisant ce que je t'ai envoyé, je vois que c'est pas si clair que cela.

 

Je relance l'analyse des trois derniers....

[Thanos]

merci pour les analyses: c'est assez clair ne t'inquiètes pas Dis moi guitoupapi comment ce Windows XP a t-il été installé ? est ce une version spéciale ?

[guitoupapi]

Thanos, j'avais relancé les trois derniers parce que, à la lecture, je me disais qu'il n'avait pas su faire ce qu'il fallait.

 

Je crois que j'avais mauvaise conscience d'en avoir envoyé simultanément sur deux onglets différents et que cela avait peut-être perturbé l'analyse.......

 

Je ne connais pas du tout l'historique de la machine.

 

Ce que je vois, c'est que cet Asus x50rlseries possède une licence Vista Home Premium collée derrière et que maintenant c'est XP pro qui est dessus.

 

Un petit logiciel vient de me dire qu'il a été installé le 13/11/2008.

J'ai aussi récupéré l'ID produit et la clef qui est différente de celle de l'auto-collant.

 

Demain, je sais que le "référent" du tibétain le voit au travail .

Je lui passerai un coup de fil pour qu'il essaye d'avoir quelques précisions.

 

Voilà, voilà.

 

Je te tiendrai sans faute au courant.

[Thanos]

ok c'était juste pour savoir car le Windows ne me semblait pas "légitime"

 

Je vais te demander de faire encore quelques manipulations pour terminer: l'infection principale semble avoir bien disparu (il s'agissait du rootkit TDSS, une vraie saloperie!), mais je voudrais m'en assurer.

On va faire un nettoyage rapide à l'aide d'un programme (puisque ComboFix semble ne plus fonctionner): je te rassure, on supprimera tous les programmes utilisés à la fin

 

Télécharge OTM par OldTimer et enregistre ce fichier sur le Bureau.

• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :first
  
  :processes
  explorer.exe
  
  :files
  c:\windows\system32\24719pz5are1659.dll  
  c:\windows\system32\2585hackt9ol6z2.dll  
  c:\windows\system32\33bzth5ef6159.bin  
  c:\windows\system32\1bdczpywar91652.dll  
  c:\windows\system32\96663spamzo55a1.exe  
  c:\windows\system32\3550zot-5-virus9a8.bin  
  c:\windows\9ddbspar5e1172z.exe  
  c:\windows\b59v5r9z60.exe  
  c:\windows\8132worz5e99.bin  
  c:\windows\5691sparse173z.bin  
  c:\windows\9853spzrse903.bin  
  c:\windows\737za5dw9re1603.exe  
  c:\windows\82dthi9f25z5.dll  
  c:\windows\system32\597z0virus195.exe  
  c:\windows\system32\97911wozm505.bin  
  c:\windows\z5a49ownloader3044.bin   
  c:\windows\z334sp95ce.dll  
  c:\windows\5999s5z10e.bin  
  c:\windows\system32\4229spyz5re1185.dll  
  c:\windows\system32\25z03not-a-9irus65a.dll  
  c:\windows\system32\9826thze5t16488.exe  
  c:\windows\system32\5500thie914z9.exe  
  c:\windows\system32\65z9ownloader1566.bin  
  c:\windows\system32\375bspywzre329.bin  
  c:\windows\system32\25919pazbot3e5.exe  
  c:\windows\system32\29975virus53fz.dll  
  c:\windows\system32\z54cad5w9re1818.exe  
  c:\windows\system32\30569spazbot359.exe  
  c:\windows\system32\5cdspywar92559z.exe  
  c:\program files\AskBarDis
  
  :reg
  [-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
  [-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller.
  
• Clique sur le bouton rouge
  
• Ferme OTM
  
• Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

Après ca, un scan tout aussi rapide >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

Modifié le 14 octobre 2009 par Thanos

[guitoupapi]

Thanos,

 

le lien

OTM par OldTimer

m'envoie sur une page blanche qui présente un tit champignon atomique dans le coin supérieur gauche ......

 

A propos du Windows, j'ai oublié de te dire que c'est un xp professionnel qui a une "gueule" de Vista...enfin partiellement ouverture au démarrage, mes documents en petit livre ouvert...

 

A te lire, merci

[Thanos]

ahh une erreur dans le lien! en voici un bon >> http://oldtimer.geekstogo.com/OTM.exe

[guitoupapi]

Merci Thanos.

 

Etait prêt à utiliser un autre trouvé sur un autre sujet mais comme il était intitulé otmoveit avais "peur" que ce soit une variante et de faire une mauvaise manoeuvre.

 

Allez, je me mets au travail

[guitoupapi]

Rerere Thanos,

 

Voici le rapport OTM : (le début me paraît bizarre)

 

All processes killed

Error: Unable to interpret <:first> in the current context!

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

File/Folder c:\windows\system32\24719pz5are1659.dll not found.

File/Folder c:\windows\system32\2585hackt9ol6z2.dll not found.

File/Folder c:\windows\system32\33bzth5ef6159.bin not found.

File/Folder c:\windows\system32\1bdczpywar91652.dll not found.

File/Folder c:\windows\system32\96663spamzo55a1.exe not found.

File/Folder c:\windows\system32\3550zot-5-virus9a8.bin not found.

File/Folder c:\windows\9ddbspar5e1172z.exe not found.

File/Folder c:\windows\b59v5r9z60.exe not found.

File/Folder c:\windows\8132worz5e99.bin not found.

File/Folder c:\windows\5691sparse173z.bin not found.

File/Folder c:\windows\9853spzrse903.bin not found.

File/Folder c:\windows\737za5dw9re1603.exe not found.

File/Folder c:\windows\82dthi9f25z5.dll not found.

File/Folder c:\windows\system32\597z0virus195.exe not found.

File/Folder c:\windows\system32\97911wozm505.bin not found.

File/Folder c:\windows\z5a49ownloader3044.bin not found.

File/Folder c:\windows\z334sp95ce.dll not found.

File/Folder c:\windows\5999s5z10e.bin not found.

File/Folder c:\windows\system32\4229spyz5re1185.dll not found.

File/Folder c:\windows\system32\25z03not-a-9irus65a.dll not found.

File/Folder c:\windows\system32\9826thze5t16488.exe not found.

File/Folder c:\windows\system32\5500thie914z9.exe not found.

File/Folder c:\windows\system32\65z9ownloader1566.bin not found.

File/Folder c:\windows\system32\375bspywzre329.bin not found.

File/Folder c:\windows\system32\25919pazbot3e5.exe not found.

File/Folder c:\windows\system32\29975virus53fz.dll not found.

File/Folder c:\windows\system32\z54cad5w9re1818.exe not found.

File/Folder c:\windows\system32\30569spazbot359.exe not found.

File/Folder c:\windows\system32\5cdspywar92559z.exe not found.

File/Folder c:\program files\AskBarDis not found.

========== REGISTRY ==========

Registry key HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ not found.

Registry key HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4b1c1e16-6b34-430e-b074-5928eca4c150}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 604424 bytes

->Temporary Internet Files folder emptied: 13990443 bytes

->Java cache emptied: 626269 bytes

->FireFox cache emptied: 2654163 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2351795 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

Windows Temp folder emptied: 483 bytes

RecycleBin emptied: 1218416 bytes

 

Total Files Cleaned = 20,49 mb

 

 

OTM by OldTimer - Version 3.0.0.6 log created on 10152009_021520

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

 

 

Il commence par error !

 

 

En plus, tu me demandais de le fermer : la croix rouge n'a pas fonctionné.

 

Je m'abstiens de lancer le second au cas où ils devraient être consécutifs.

 

Bin @ toi

[Thanos]

Voici le rapport OTM : (le début me paraît bizarre)

Le message "error" que tu vois en début de rapport est tout à fait normal

Le rapport montre que ComboFix a pu élminer tous les fichiers via le script car ils ne sont plus présents

 

Tu peux lancer rsit à présent: le rapport va me montrer s'il y a encore des restes, mais normalement ca doit être bon.

 

Je te lirai demain matin car je pars me coucher

[guitoupapi]

A la lecture d'un autre sujet, je vois que quand tu disais "ferme" tu pensais sans doute au bouton exit.

 

Alors si j'ai fait l'idiot en cliquant sur la croix rouge, je suis désolé !!!!!!

 

En effet, le pc a redémarré avant d'afficher le rapport sans me demander mon accord comme tu le suggérais.

La croix rouge a donc pu fonctionner et provoquer ce redémarage.

 

Je vais un peu dormir, cela ne fera pas de tort ..........

 

Si tu me lis le matin, je te souhaite une bonne journée.