[Résolu] Malwares récalcitrants (avec rapport ComboFix)

[Mark]

Bonjour

 

Bravo pour le travail !

 

Deux questions :

 

1) Comment se comporte la machine, suite à ces manipulations ?

2) Suite à l'infection Bagle, avais-tu fais des sauvegardes avant formatage et, si oui, as-tu sauvegardé des fichiers .zip perso ?

 

Merci, et à plus tard.

 

Mark

[Elric_Brothers]

J'ai uniquement fais une gravure de certains fichiers étant dans mes documents (car je ne pouvais pas faire de copier/coller vers un de mes DDE à cause du Bagle qui me coupait les services). Je viens de regarder le CD en question et il y en effet quelques fichiers .zip mais ces fichiers proviennent de sites non malveillants (style Clubic, voir même des sites de développeurs logiciels qui mettent leurs fichiers .exe sous .zip).

 

Mais sinon rien d'anormal.

 

Pour être sincère, mon PC s'est comporté bizarrement (avec Antivir me prévenant d'une éventuelle infection par un trojan TR/Agent. 17920, qui je pense avait été éradiqué par MBAM) au moment où j'avais entamé du téléchargement d'un épisode de Dr House (je sais c'est mal mais que voulez-vous...en Belgique et en Suisse ils sont en avance et en sont à la saison 6...EUX).

 

Du coup c'est à ce moment-là que j'ai stoppé le téléchargement et que j'ai quand même chopé le fameux Antimalware Doctor.

 

Quoiqu'il en soit, les fichiers .zip n'étaient pas spécialement perso du fait que ça a été compressé par les sites de développeurs donc (en toute logique) ne sont pas forcément infecté par de quelconque malwares.

 

Sinon, lorsque j'ai copié/collé les fichiers (Images, photos etc...) à mes Documents (de la nouvelle partition), rien ne s'était produit et tout fonctionnait correctement, ce n'est que deux jours après (une fois les téléchargement commencés) que le problème est survenu.

 

Voilà, voilà, si tu souhaites avoir plus de précisions, je suis à toi. Autre chose, que penses-tu de l'éradication ? Du moins j'aimerai en connaître le statut (désinfecter or not ? Car s'il y a d'autres procédures à suivre, je suis fin prêt )

 

Et sinon pour répondre à ta deuxième question concernant le comportement de ma machine APRES manipulations et autres (j'ai réactivé l'antivirus, le firewall (Kerio), Ad-Aware etc...) et...déjà j'ai ma connexion Wifi qui se reconnecte automatiquement et normalement (ce qui n'était pas le cas, j'étais obligé de déconnecté et reconnecté la clef USB Wifi), au niveau du démarrage j'ai maintenant (et ça depuis ComboFix mais je pense que c'est normal) Deamon Tools qui me balance un message d'erreur. Sinon au niveau de la vitesse de la machine même, je la trouve un peu plus réactive que les fois précédente mais ça reste un chouille lent pour moi. Si tu as des conseils afin d'augmenter la vitesse de mon PC (c'est-à-dire : Services inutiles à désactiver, processus qui ne servent à rien (j'ai installé Process manager afin qu'il gère les processus de manière stable) et autres trucs du genre...), je suis les yeux grands ouverts ^^.

 

Merci beaucoup Mark.

 

PS: Mais dis-moi 6h du mat' déjà levé et hop un post ? Je dois reconnaître que tu es motivé, en tout cas bravo (je te lance à PEINE des fleurs )

Modifié le 5 mai 2010 par Elric_Brothers

[Mark]

J'ai 6 heures de décalage avec toi (derrière)

 

Héhé. Merci pour les fleurs

 

Pour ce qui est de l'infection que j'ai ciblée, ça me semble Oké. Toute une bête, avec contrôle à distance installé sur ta machine (qui n'y est plus).

 

Pour ce qui est de Bagle, voici pourquoi j'ai demandé, pour les fichiers .zip : l'infection injecte un petit dossier, qui contient un fichier installateur Bagle, dans tous les fichiers .zip présents sur l'ordinateur. Étant donné que Bagle met l'antivirus HS, rien n'est détecté. Peu importe ce qui se trouve dans le fichier .zip (programme, photos, documents, etc...), Bagle y injecte un petit dossier avec fichier infecté. Ce fichier ne se lancera pas tout seul par contre ; pour ré-activer l'infection, il te faudrait ouvrir une archive (.zip), ensuite ouvrir le petit dossier et ensuite lancer ce fichier infecté. Les risques sont faibles, on se comprend, mais présents, si tu as des fichiers .zip sauvegardés.

 

Là je dois quitter pour un petit moment, mais je repasserai te donner des instructions pour vérifier (Bagle). Ce sera simple et sans danger. Profite de ce temps pour surfer (prudemment) ou même juste utiliser la machine normalement, juste pour voir si tout demeure stable.

 

Je repasse dès que possible.

 

@+

 

Mark

[Elric_Brothers]

Je suis de nouveau sur ma machine (la grosse, le fixe, la bête, LE MONSTRE) et apparemment ça a l'air de bien tourner en ce qui concerne la navigation internet, pas de PC qui se fige (donc plus de reboot obligatoire), seulement Deamon Tools qui fait chié au démarrage (mais je pense que ce n'est pas trop grave). Concernant le Bagle, je suis ok pour suivre les procédures, je t'attendrai dans ces cas-là (en allant boire un verre tiens, ça me changera les idées). Concernant ton décalage horaire euh...DOM-TOM ?

 

En tout cas merci beaucoup pour ton professionnalisme et ta patience .

 

Pour le reste j'attendrai tes instructions à suivre et puis aussi (je me répète) si tu as des conseils concernant les services Windows inutiles qui peuvent ralentir le PC, je les suivrai à la lettre.

 

 

Merci encore.

[Mark]

Concernant ton décalage horaire euh...DOM-TOM ?

Merci à Google (je ne connaissais pas).

Non, je suis au Québec (GMT -4, heure d'été).

 

Pour ce qui est de Daemon Tools, ça se replace souvent après quelques redémarrages ; ComboFix le désactive, en effet, car il nuit terriblement lors des analyses en profondeur. Si ça ne revient pas à la normale, tu pourras le réinstaller.

 

Pour l'optimisation de la machine : ce n'est pas mon fort, mais on pourra tenter quelques trucs simples, et peut-être te rediriger vers le forum Optimisation pour reprendre avec des connaisseurs.

==============

 

On fait un peu de ménage dans les outils :

 

- Supprime HAMeb_Check.exe, ainsi que le rapport qu'il a généré.

- Pour l'autre outil (HelpAsst_mebroot_fix.exe), il faut faire ceci :

 

"Démarrer" > "Exécuter...", puis tape la ligne suivant dans la boîte et clique "OK" :

 

helpasst -cleanup

(il y a un espace après "helpasst")

 

- Finalement, supprime l'outil HelpAsst_mebroot_fix.exe sur le Bureau.

==============

==============

 

Pour Bagle maintenant, voici ce que je te propose :

 

- Désactive le bouclier d'AntiVir temporairement, sinon il pourrait te bouffer tes fichiers .zip en entier.

- Prends le ou les CDs de sauvegardes, puis dépose tous les fichiers .zip que tu y trouves dans un nouveau dossier, sur le Bureau de la machine. Ceci permettra leur désinfection.

- Ensuite :

 

Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau :

http://eric71.geekstogo.com/beta/ZSc.exe

• Lance l'outil ZSc.exe par double-clic
  
• Clique maintenant sur le bouton "Scan", au bas à gauche
  
• Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à l'infection Bagle ;
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran ; ce rapport est également sauvegardé sur ton Bureau (scan.txt)
  
• Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.
  
• Tu dois maintenant fermer l'outil en cliquant sur le bouton qui se trouve au bas, à droite (le petit bonhomme).
  
• Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.
  

 

@++

 

Mark

[Elric_Brothers]

Ok merci.

 

Euh voici donc le scan de Zipscan et est-ce normal ?

 

-- Report --

.

.

-- EOF --

 

Quoique, je me dis qu'il y a un gros vide donc...rien à signaler ?

 

En tout cas merci encore (ça fait beaucoup de merci je sais mais...c'est mérité )

[Mark]

Y a vraiment pas de quoi (tu peux continuer )

 

C'est bon, pas de fichiers .zip injectés. Je suis un peu surpris, mais bon, il m'est arrivé de lancer Bagle ici et il n'infectait pas les archives, quoique... il le faisait 8 fois sur 10. Tu es dans le 20% des chanceux, on dirait

 

Je dois filer dans 5 minutes alors je n'ai pas le temps de terminer le nettoyage. Rien d'urgent par contre. Je repasserai durant la nuit.

 

N'oublie pas de remettre le bouclier d'AntiVir, si ce n'est déjà fait. Tu peux supprimer l'outil Zip_Scan et son rapport tout de suite.

 

À très bientôt,

 

Mark

[Elric_Brothers]

Et bien et bien...

 

Je dois l'avoué tu as fais un excellent travail, beaucoup de patience (c'est là que j'imagine ce que vous endurez parfois avec des cas beaucoup plus récalcitrants...erf), de professionnalisme...non franchement j'admire.

 

C'est la première fois que j'ai ressenti le besoin d'aller dans un forum d'entraide informatique tel que celui-ci. Je faisais parfois quelques passages sur CCM mais ce sont pour la plupart soit des connaisseurs ou des "pseudo-connaisseurs". Ici j'ai senti que vous saviez ce que vous faîtes.

 

Pour ma part, je vous recommanderai (bon pas trop non plus car bon j'imagine parfois la surcharge de travail ), en tout cas merci encore Mark et à bientôt peut-être. Je passerai par là histoire de parler Hardware qui est un peu plus mon domaine .

[Mark]

Merci...

 

Tu sais, le boulot accompli ici n'était pas simple ; c'est un travail d'équipe et tu t'es fort bien appliqué pour mettre tout ça en oeuvre. Face à de tels monstres/infections, le niveau de difficulté grimpe lorsqu'on tente de nettoyer sur les forums, alors il faut dire les choses de la façon la plus claire possible. La communication, quoi...

 

On va maintenant terminer le petit nettoyage :

=========

 

Tout d'abord, les fichier temporaires :

 

Télécharge TFC.exe (par Old Timer) sur ton Bureau :

http://oldtimer.geekstogo.com/TFC.exe

 

- Ferme tous les programmes ouverts (enregistre le boulot en cours, le cas échéant).

- Lance l'outil et clique sur "Start" ;

- Lorsqu'il aura complété sa routine, il t'invitera à redémarrer la machine pour terminer le nettoyage : accepte.

> S'il ne redémarre pas ta machine automatiquement, redémarre-là s'il te plaît.

- Il n'y aura pas de rapport généré.

~~~~~~~~~~

 

Clique maintenant sur "Démarrer" > "Exécuter..." puis copie/colle (ou tape) la ligne suivante dans la boîte :

 

ComboFix /uninstall

(il y a un espace après "ComboFix")

 

> Clique "OK" et tu verras une barre de progression ; c'est assez rapide.

> Ceci désinstalle ComboFix proprement ; tu ne dois pas le conserver, de toute façon, car il est mis à jour fréquemment et, de plus, ne doit pas être utilisé sans supervision.

 

Tu peux supprimer TFC.exe, ou tu peux le conserver pour du nettoyage de fichiers temporaires régulier.

 

Je t'invite maintenant à défragmenter ton disque dur ("Démarrer" > "Tous les programmes" > "Accessoires" > "Outils système" > "Défragmenteur de disque").

Ceci pourra de redonner un peu de vitesse, surtout si tu ne l'as pas faite suite au formatage.

 

===

===

 

Si jamais tu voulais regarder du côté de l'optimisation, tu pourrais lancer un sujet dans le forum dédié :

http://forum.zebulon.fr/optimisation-secur...ention-f52.html

 

Pour ton "XP" : je ne peux que t'encourager à installer un vrai Windows 7 le plus tôt possible. Pas juste pour la légalité de la chose, mais aussi pour la sécurité, qui est supérieure à celle de XP. Avec ton iCore, W7 va tourner rondement

 

Fais gaffe aux téléchargements douteux.

 

Voilà, je pense que c'est tout

 

Si questions, pas de gêne. Bon surf, et sois prudent

 

 

@++

 

Mark

[Elric_Brothers]

TFC fait et ComboFix désinstallé.

 

Merci (encore) Mark, dès cette nuit je me met à faire une défragmentation du système avec DiskDefrag d'Auslogic (moins lourd que le défragmenteur de de Windows mais n'en néglige pas les fichiers à défragmenter et effectue le même travail travail que son homologue de Microsoft). Il est vrai que ça ne doit pas être facile d'essayer d'expliquer clairement des choses qui sont un temps soit peu techniques, pour ma part cela fait maintenant depuis le P1 MMX (avec Packard Bell) que je squatte les ordinateurs sans forcément au début faire du bidouillage. Mais bon, il y a des gens certes...ils ne comprennent pas forcément tout, comme tu dis, c'est de la communication . Et je dis au passage, bravo à l'équipe.

 

Concernant W7, c'est en prévision. J'ai un ami qui avait testé W7 et qui m'a dit qu'il était vraiment bien et je n'en doute pas (un look Vista en mieux avec limite un noyau XP ? Que demander de plus), mon petit frère utilise W7 et je dois avouer qu'il est vraiment pratique et rapide à démarrer. Cependant, ce sont plus les moyens financiers qui manquent en ce moment, je me suis concentré sur l'achat d'une TV LCD (en 106 de chez Sony avec un lecteur Blu-Ray, donc ça fait mal mais bon...faut se faire plaisir ) et puis il y a aussi la prévision d'un Crossfire que je souhaite me faire depuis un certain temps (avec une alimentation en plus car c'est pas ma Corsair de 550W qui va tenir le coup)...donc tout ça bah ça fait des frais. MAIS W7 fait parti des prévisions courant Juin/Juillet, là je pourrais enfin me dire que j'ai une vraie licence sans l'avoir téléchargée au préalable.

 

Merci encore Mark et encore une fois...très bon boulot.