[RESOLU]Infection par cheval de Troie TR/Rootkit.Gen

[Thanos]

juste par précaution, j'aimerai que tu vérifies si ces fichiers sont présents ou pas dans le répertoire c:\windows\system32\drivers =>

iytkb.sys

rxwttm.sys

ugwvh.sys

[OPH03]

Re!

je n'ai trouvé aucun des 3 fichiers dans le répertoire

[Thanos]

salut

 

Très bien! refais un scan avec MalwareBytes pour terminer et poste le rapport stp.

Comment fonctionne le pc ? toujours des alertes d'Antivir ?

[OPH03]

Bonjour!

Le PC fonctionne très bien, il est plus rapide qu'avant et je n'ai plus d'alerte Antivir.

 

Le dernier rapport MBAM:

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4003

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

18/04/2010 12:03:26

mbam-log-2010-04-18 (12-03-26).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 205058

Temps écoulé: 59 minute(s), 36 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Thanos]

on termine comme ceci OPH03, avec l'utilisation d'USBFix:

 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, carte mémoire APN etc...) susceptibles d avoir été infectées sans les ouvrir
  
• Double clique sur le raccourci UsbFix présent sur ton bureau .
  
• Choisis option 2 ( Suppression )
  
• Ton bureau disparaitra et le pc redémarrera .
  
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  
• Ensuite poste le rapport UsbFix.txt qui apparaitra.
  

 

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

[OPH03]

Voilà le rapport USBFix:

 

 

############################## | UsbFix V6.104 |

 

User : PC (Administrateurs) # PC-DDAB81E294D0

Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8

Start at: 13:11:44 | 18/04/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 Processor 3000+

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 122,08 Go (93,42 Go free) [sYSTEM] # NTFS

D:\ -> Disque CD-ROM

E:\ -> Disque fixe local # 110,81 Go (110,73 Go free) [DATA] # NTFS

G:\ -> Disque amovible # 975,88 Mo (500,84 Mo free) [Koon-Memup] # FAT32

H:\ -> Disque amovible

 

################## | Elements infectieux |

 

Supprimé ! C:\log.txt

Supprimé ! C:\Recycler\S-1-5-21-776561741-1284227242-839522115-1004

Supprimé ! E:\Recycler\S-1-5-21-776561741-1284227242-839522115-1004

Supprimé ! G:\autorun.inf

 

################## | Registre |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Mountpoints2 |

 

 

################## | Listing des fichiers présent |

 

[18/08/2007 15:44|--a------|17180760] C:\antivir_workstation_win7u_en_h.exe

[21/04/2007 18:06|--a------|2228534] C:\audacity-win-1.2.6.exe

[21/02/2006 11:50|--a------|0] C:\AUTOEXEC.BAT

[03/03/2007 14:04|--a------|6469352] C:\avgas-setup-7.5.0.50.exe

[02/12/2009 12:32|--a------|30143928] C:\avira_antivir_personal_free.exe

[21/02/2006 11:44|--a------|216] C:\Boot.bak

[16/04/2010 21:16|-rahs----|286] C:\boot.ini

[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin

[25/08/2007 11:17|--a------|1325810] C:\c-box_usb.exe

[03/08/2004 23:00|--a------|263488] C:\cmldr

[16/04/2010 22:26|--a------|13170] C:\ComboFix.txt

[21/02/2006 11:50|--a------|0] C:\CONFIG.SYS

[13/10/2007 11:40|--a------|3858985] C:\eMule0.48a-Installer.exe

[27/07/2009 17:16|--a------|65136028] C:\FurnishFR.exe

[21/11/2007 18:18|--a------|831614] C:\geoplan-2.zip

[21/11/2007 18:18|--a------|294954] C:\GeoplanGeospace-2.zip

[21/11/2007 18:18|--a------|763259] C:\Geospace-2.zip

[24/02/2006 18:37|--a------|29083] C:\gpl.html

[02/08/2006 18:02|--a------|403372] C:\HMV9Inst.log

[21/02/2006 11:50|-rahs----|0] C:\IO.SYS

[09/04/2007 13:05|--a------|1563373] C:\kadance_alik.rar

[24/08/2007 16:24|--a------|9234544] C:\kit.exe

[18/04/2010 10:49|--a------|271103] C:\logfile

[29/03/2006 18:41|--a------|183] C:\LogiSetup.log

[21/02/2006 11:50|-rahs----|0] C:\MSDOS.SYS

[24/02/2006 17:47|--a------|860777] C:\mvc.zip

[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM

[19/04/2009 12:42|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[02/12/2006 14:29|--a------|7494165] C:\PeerTV-Install.exe

[09/08/2007 17:14|--a------|4909064] C:\picasa2Setup.exe

[16/04/2010 22:27|--a------|1096472] C:\Qoobox.zip

[24/02/2006 18:38|--a------|31] C:\rasman.bat

[24/02/2006 18:37|--a------|4096] C:\reboot.exe

[02/03/2007 18:29|--a------|13446648] C:\setupfre.exe

[06/08/2009 15:06|--a------|6712698] C:\Setup_FreeConverter.exe

[24/06/2009 15:42|--a------|6745696] C:\Shareaza_2.4.0.0.exe

[18/04/2010 13:17|--a------|3396] C:\UsbFix.txt

[14/10/2007 13:58|--a------|9679815] C:\vlc-0.8.6c-win32.exe

[20/11/2007 16:58|--a------|10462920] C:\XLVIEWER.EXE

[03/12/2006 21:54|--a------|2430540] E:\ Fatal bazooka - Fous ta cagoule.mp3

[10/03/2007 20:12|--a------|37701] E:\afuck.jpg

[04/08/2004 00:55|--a------|28672] E:\setupSNK.exe

[02/08/2007 17:51|--ahs----|9216] E:\Thumbs.db

[05/09/2008 11:14|--a------|2348] G:\START.htm

[21/08/2009 16:20|--a------|296] G:\WMPInfo.xml

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-DDAB81E294D0.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.104 ! |

[Thanos]

salut

 

Ceci à noter d'important: USBFix ne s'est pas contenté de supprimer l'infection, il a aussi vacciné tous les modules!

Aussi, si tu trouves des dossiers nommées autorun.inf cachés sur tes disques, ne t'inquiètes pas c'est normal! Voilà ce que dit le rapport USBFix >>

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

Ces dossiers ont été installés par USBFix afin d'empêcher les infections (qui s'attaquent aux supports amovibles) de créer des fichiers autorun.inf à la racine des disques. C'est une protection: à ce propos, je te conseille chaudement de lire le topic créé par Gof, c'est très bien écrit et accessible. Ca te permettra de connaitre/reconnaitre cette infection >> http://forum.zebulon.fr/infections-par-sup...es-t131959.html

 

Un guide (toujours par Gof) que je te conseille de diffuser autour de toi car ces infections via clé ubs sont un vrai fléau >> http://forum.zebulon.fr/guide-securisation...sb-t170848.html

Envoie le à tes amis pour qu'ils se prémunissent contre cette plaie

 

Expédie stp le fichier comme indiqué dans le rapport =>

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-DDAB81E294D0.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

***

Note spéciale par rapport à ComboFix =>

 

* Tu as dû constater qu'au démarrage, un choix t'est proposé à présent: Démarrer Windows ou Lancer la Console de Récupération. C'est ComboFix qui l'a installée par sécurité. Parfois, il arrive que des fichiers importants de Windows soient corrompus/effacés et c'est là que l'installation de cette Console prend tout son intérêt.

Elle permet de faire une multitude de chose: effacer des fichiers infectés - remplacer des fichiers légitimes etc....

pour plus d'informations sur la Console de Récupération, lis ce topic >> http://www.zebulon.fr/dossiers/61-console-...cuperation.html

 

* Si la console de récupération est installée sur XP, Windows ne laisse que très peu de temps pour choisir de démarrer sur le système ou sur la console. (2 secondes par défaut). C'est très court pour réagir.

 

Pour allonger un peu ce temps de réaction, allez dans le panneau de configuration, double-cliquez sur Système puis cliquez sur Avancé/Propriétés système. Cliquer sur Démarrage et récupération/paramètres.

 

Changer la valeur indiquée à "Afficher la liste des système d'exploitation pendant x secondes": augmentez à 8 secondes.

 

 

Cliquez alors sur "Modifier".

 

Le fichier boot.ini va s'ouvrir en forme de fichier texte.

 

N'y touchez pas, fermez la fenêtre en cliquant sur la croix en haut à droite.

 

Cliquez ensuite sur /ok/appliquer/ok.

 

Vous disposerez désormais de 8 secondes à chaque boot du pc pour choisir de démarrer soit sur la console de récupération soit sur le système.

 

Si vous ne touchez à rien pendant ce laps de temps, Windows bootera sur le système.

 

Et si vous souhaitez démarrer de suite sur le système, interrompez le décompte en pressant la touche Enter du clavier.

 

***

 

* Nettoyage des outils téléchargés =>

 

- Tu peux supprimer les fichiers RSIT.exe et UsbFix.exe sur le Bureau ainsi que les dossiers C:\rsit et C:\UsbFix

 

- Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et copie/colle ceci >

 

ComboFix /uninstall (il y a un espace entre x et / si tu recopies la commande manuellement)

 

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc et la restauration système sera purgée.

 

- Relance OtMoveIt 3 en cliquant droit dessus pour l'"exécuter en tant qu'administrateur" puis clique sur le bouton "Clean Up"!

• 
• Un message d'alerte apparaît ("Begin cleanup process ?"): clique sur YES
  
  
• Ferme enfin tout ce que tu étais en train de faire (navigateur, etc...) et clique sur Yes à la demande de redémarrage:
  
  Au redémarrage les outils utilisés auront été supprimés, y compris OtMoveIt 3 !
  

- Conserve MBAM: Il ne protègera pas ton pc car pour bénéficier de sa fonction de protection résidente et ses mises à jour automatiques, il faudra acheter la licence. Ceci dit, il est toujours efficace pour nettoyer ton pc! il suffit juste de le mettre à jour manuellement avant tout scan.

 

* Les mises à jour importantes =>

 

Adobe Reader 7.0 sur ton pc. Mise à jour ici (v9.3 )>> http://get.adobe.com/fr/reader/

Note à propos d'Adobe Reader: si tu utilises ce programme pour pouvoir visualiser des documents au format pdf, il y a bien plus léger!! Foxit Reader par ex >> http://telechargement.zebulon.fr/foxit-pdf-reader.html

Attention à bien décocher les cases qui conseillent l'installation de Ask Toolbar et ebay

si tu optes pour ce dernier, inutile de faire la mise à jour d'Adobe Reader (désinstalle le simplement)

 

Il faut mettre la Console Java de Sun à jour car c'est important pour la sécurité du pc.

 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Selectionner.
  
• Clique sur Recherche de mises à jour
  
• Sélectionne Metre à jour via jucheck.exe puis clique sur Rechercher
  
• Autorise le processus à se connecter s'il te le demande, clique sur Installer et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Effacer les anciennes versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
  Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

Note: Tu pourras conserver ce petit programme car il permet d'automatiser la mise à jour de la Console Java ainsi que la désinstallation des anciennes versions.

 

- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

Tu peux utiliser ce programme qui aide à faire le point sur les logiciels qui ont besoin d'une mise à jour >>PSI de Secunia<<

 

* Les sauvegardes =>

 

- Je te conseille vivement de faire des sauvegardes régulières des données qui ont de l'importance pour toi. Lorsqu'on y pense, il est souvent trop tard! Une grosse infection ou un plantage de la machine peuvent rendre les données irrécupérables... Aussi, afin d'éviter ce gros désagrément, il faut prendre l'habitude de faire des sauvegardes régulières. Pour celà je te conseille le logiciel gratuit >>Cobian Backup 8<<

Ce tutoriel montre comment l'utiliser >> http://www.astucesinternet.com/modules/new...php?storyid=207

 

- Tu peux aussi faire une sauvegarde du disque entier (image) pour pouvoir retrouver rapidement ton système en cas de souci.

CloneGenius peut t'y aider => http://www.libellules.ch/dotclear/index.ph...196-clonegenius

 

* Quelques conseils =>

 

Je ne vois pas de navigateur autre que Internet Explorer sur le pc. Je te conseille de télécharger Mozilla Firefox par ex. La dernière en date est la 3.6.3.

Télécharge et installe vite la dernière depuis le site de l'éditeur >> http://www.mozilla-europe.org/fr/firefox/

 

- Le pare-feu intégré à Windows n'est pas efficace! il est important d'en installer un vrai pour protéger ton pc >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://telechargement.zebulon.fr/zonealarm.html

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquillité .

 

* Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi

A bientot sur les forums de sans malwares!

[OPH03]

Salut

Merci pour tous ces derniers conseils Thanos, je vais les suivre consciencieusement!

Je tiens également à te remercie pour ton aide précieuse ses derniers jours, tes réponses étaient rapides, très claires et compréhensibles.

De plus, l'aide apportée est vraiment très complète. Milles merci

A bientôt

[Thanos]

salut,

 

De rien OPH03 par contre....pas "à bientôt" j'espère