Sécurisation + nettoyage du PC

[Aramisss]

Le voilà (petite précision , il était dans C:\Qoobox ) :

Modifié le 17 janvier 2010 par Aramisss

[oGu]

Re!

 

Pourquoi as-tu supprimé les rapports précédents de ComboFix? Je fais comment pour les comparer maintenant ??

 

Le dernier rapport que tu as posté (en effet, ils sont dans Qoobox, sorry!) est daté du :

 

30/10/2009 à 0:06

 

Moi il me faudrait celui du 18 novembre, 13 h 22.

[Aramisss]

Ok je vais les remettre, je pensais que tu n'en avais plus besoin.

Pour le rapport, celui que je t'ai posté est le plus récent présent dans le fichier ...

 

Edit:Ah attend, je pense savoir d'où viens le soucis de l'heure du fichier que tu me demande, il y a un décalage d'1 heure (sûrement un décalage heure d'été/hiver). Sur mon PC, il a été enregistré à 14h22 et non 13h22 ...

Par contre c'est bien ce fichier ...

Modifié le 18 novembre 2009 par Aramisss

[oGu]

Salut!

 

De mauvaises nouvelles : le dernier rapport montre un rootkit MBR : or les rapports précédents ne le mentionnaient pas (c'est pour ça que tu dois laisser tous les rapports pour comparaison !)

 

On va tâcher de réparer ça : au passage je dois aussi supprimer un driver Daemon Tools infecté : aussi ne t'étonne pas si Daemon Tools ne fonctionne plus (il te suffira de le réinstaller) :

 

 

1- VIRUSTOTAL

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne rouge:
   
  c:\windows\system32\ntoskrnl.exe
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  

 

 

2- VIRUSTOTAL #2

 

Même opération mais avec les fichiers suivants :

 

c:\windows\system32\drivers\ACPI.sys

 

c:\windows\system32\drivers\atapi.sys

 

 

 

 

3- FICHIER INFECTE

Recherche le fichier suivant sur ta machine (son chemin n'apparaît nulle part dans les rapports):

 

weawa.scr

 

et supprime-le, puis vide ta Corbeille.

 

 

 

4- CRÉATION/EXÉCUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image :
  
   
  
• Sauvegarde ce fichier sur ton Bureau
   
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!!
   
  
• Désactive ton antivirus et ton antispyware
   
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Enfin, poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  

Modifié le 19 novembre 2009 par oGu

[Aramisss]

Bon pour le "weawa.scr" je ne l'ai pas trouvé (recherche windows ) mais si il y est il est dans documents and settings\mon nom d'utilisateur , j'ai essayé de le supprimer à l'aide de la console mais elle ne l'a pas trouvé ...

 

PS:J'éditerai ce post au fur et à mesure des analyses...

Edit: le premier fichier met beaucoup de temps à être analysé !

Modifié le 17 janvier 2010 par Aramisss

[oGu]

Ok, c'est noté. Les résultats sont ambivalents dans l'immédiat.

 

Quand tu auras tout terminé, poste un nouveau message pour signaler que tu as fini, de manière à ce que le forum m'en informe par mail.

 

A+!

[oGu]

Salut!

 

Tu as chopé une belle saloperie...Je dois consulter des collègues afin d'y voir plus clair.

 

J'espère qu'on viendra à bout de ce rootkit!

 

En attendant mon retour, utilise le moins possible ce PC, TDSS vole les mots de passe et autre joyeusetés de ce genre.

 

A+

[oGu]

Re.

 

Remplace ton ancienne version de ComboFix par celle-ci (clique sur le logo) :

 

puis passe ce CFScript :

 

 

 

 

 

 

WINFILE REPLACE

 

Télécharge Winfile Replace de Loup Blanc sur ton Bureau en cliquant sur ce lien:

http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

• Ferme tous les programmes et double-clique sur l'icône WinFileReplace
  
• Dans le menu qui apparaît , saisis F puis clique sur Entrée pour mettre le programme en Français.
  
• Le programme se lance et vérifie ta version de Windows.
  
• Le bloc-note s'ouvre : copie les lignes rouges suivantes et colle-les dans ce Bloc-notes :
   
  atapi.sys
   
   
  
• Ferme le bloc-note en enregistrant les changements.
  
• Le service pack correspondant à ton système va être alors téléchargé.
  Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).
   
  
• Tu dois ensuite accepter le contrat d'utilisateur de Microsoft
  
• Confirme la restauration du fichier en appuyant sur la touche o puis sur Entrée
  
• Une fois le remplacement effectué, tu devras faire redémarrer l'ordinateur en appuyant sur la touche o puis sur Entrée.
  
• Au redémarrage, un rapport s'ouvre qui vérifie et t'indique si la restauration a réussi.
  

 

 

 

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"
  
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
  
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
  
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

Modifié le 20 novembre 2009 par oGu

[Aramisss]

Mince j'avais lance le script avant que tu édite ton post , je t'envoie le log , dis-moi si je dois refaire ...

Pour windows , c'est une version OEM , il ne me semble pas qu'il y avait de cdboot ...

Je fait ta manip...

 

EDIT: Pour winfile , il me dit qu'il ne trouve pas le fichier dans le répertoire C:\winfilereplace (un truc comme ça , j'ai réussi à le voir grâce à un screenshot) donc ne poursuit pas l'installation du fichier

 

Edit2 : L'analyse avec Eset prend du temps mais apparement , il a trouvé quelque chose, un certain"Win32/Hupigon trojan + un autre Win32/Obfuscated trojan + 2autres hupigon + 3xWin32/Agent trojan +2xWin32/AutoRun.VB.FL worm

Modifié le 17 janvier 2010 par Aramisss

[oGu]

Salut!

 

Je reproduis ton mp pour que cela soit plus simple : détections ESET :

 

C:\Documents and Settings\All Users\Documents\Diablo II Lord Of Destruction v1[1] 09d No-CD Crack.zip probably a variant of Win32/Hupigon trojan

C:\Documents and Settings\Chumanitutankas\Mes documents\Mes images\pack_HC\D2E\diabloiiv1.00fixcracktnt.zip probably a variant of Win32/Obfuscated trojan

C:\Program Files\CureROM\CureROM_202_Setup.rar probably a variant of Win32/Agent trojan

C:\Program Files\Diablo II\DLoad.exe probably a variant of Win32/Hupigon trojan

C:\Program Files\Diablo II\Nouveau dossier\DLoad.exe probably a variant of Win32/Hupigon trojan

C:\Program Files\TheTurtle\Nouveau dossier\TheTurtle.exe probably a variant of Win32/Agent trojan

C:\Qoobox\Quarantine\C\Documents and Settings\Chumanitutankas\Chumanitutankas.exe.vir a variant of Win32/AutoRun.VB.FL worm

C:\System Volume Information\_restore{B78D69F7-A7AE-4612-A5CB-9149CAE51FB0}\RP1008\A0209145.exe probably a variant of Win32/Agent trojan

C:\System Volume Information\_restore{B78D69F7-A7AE-4612-A5CB-9149CAE51FB0}\RP995\A0203827.exe a variant of Win32/AutoRun.VB.FL worm

 

Tu as installé des cracks infectés...quand on vous dit d'abandonner ces trucs-là!

 

On va procéder en deux temps : d'abord du nettoyage (encore une fois...), ensuite des scans pour s'ouvrir de nouvelles pistes de recherche :

 

Il va d'abord falloir shooter le jeu Diablo, qui en + se connecte au Web, et le truc Turtle : on y va par étapes :

 

1- NETTOYER LES POINTS DE RESTAURATION

 

Ils présentent des restes d'infection: ils sont donc inutilisables et doivent être supprimés, puis remplacés.

 

• Va dans le menu "Démarrer"
  
• Clique droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", sélectionne "Désactiver la Restauration du système sur tous les lecteurs".
  
• Clique sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, clique sur "Oui"
  
  
• Clique enfin sur "OK".
  
• Redémarre
  
• Puis:
  
• Va dans le menu "Démarrer"
  
• Clique droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", décoche la case "Désactiver la Restauration du système sur tous les lecteurs".
  
• Clique sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, clique sur "Oui"
  
  
• Clique enfin sur "OK".
  

 

 

 

2- ATAPI.SYS SAIN

Télécharge cette version saine du driver atapi sur ton Bureau :

 

 

 

3- CRÉATION/EXÉCUTION D'UN CFSCRIPT

 

Remplace ta version de ComboFix par celle-ci à jour :

• Télécharge ensuite ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image :
  
   
  
• Sauvegarde ce fichier sur ton Bureau
   
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!!
   
  
• Désactive ton antivirus et ton antispyware
   
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Enfin, poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  

 

 

 

*************************************************************

 

 

4- VIRUSTOTAL

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne rouge:
   
  
  C:\WINDOWS\system32\drivers\ndis.sys
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  

 

 

 

5- MALWAREBYTES ANTI-MALWARE

• Lance-le en double-cliquant sur son raccourci
  
• Connecte tes clés USB et ton disque dur externe
  
• Rend-toi dans l'onglet "Mise à jour" et clique sur "Recherche de mise à jour"
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche"
  
• Sélectionne "Exécuter un examen complet":
  
  
• Clique sur "Rechercher"
  
• Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:
  
  
• Le scan se lance
  
• A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  
• Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
  
• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
  
• Redémarre ton PC
  

 

 

 

KASPERSKY

 

Edit : le scanner est en maintenance, on verra ça plus tard.

Modifié le 21 novembre 2009 par oGu