[Résolu] Infection du MBR, que faire ?

[Apollo]

Re,

 

En plein dans le mille! TDSS était en effet une cause de ces dysfonctionnements et forcément, le rootkit est souvent bien planqué.

 

Tu peux virer TDSSKiller de même que son rapport si le pc a été rebooté.

 

Tu sais le trouver en cas de besoin car il évolue souvent donc il ne sert à rien de le garder, comme tous les outils spéciaux d'ailleurs. How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

--------------------

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie A vérifier de temps en temps, important!

 

---------------------------

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi-même pour parachever le nettoyage.

 

--------------------------------------

 

 

Va dans outils/options internet et sous l'onglet sécurité, clique sur "par défaut".

 

TUTO: Comment faire un scan en ligne avec Kaspersky : Aide pour supprimer les virus

 

Désactive ton antivirus le temps d'installation et de mises à jour du webscanner Kaspersky.

 

• 
  
• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[PlanT]

Désolé pour le retard mais Kaspersky a travaillé toute la nuit.

 

Voici son rapport :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Sunday, September 12, 2010

Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Saturday, September 11, 2010 15:18:39

Records in database: 4208367

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

F:\

G:\

H:\

I:\

J:\

K:\

 

Scan statistics:

Objects scanned: 321812

Threats found: 3

Infected objects found: 5

Suspicious objects found: 0

Scan duration: 12:06:08

 

 

File name / Threat / Threats count

C:\Documents and Settings\Hibou\Mes documents\Install\PeerTV\peertv_peertv_0.3_francais_24906.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Downloads\Appli\avi4cc\MSCOMCTL.OCX Infected: Packed.Win32.Krap.n 1

C:\Downloads\Appli\avi4cc.zip Infected: Packed.Win32.Krap.n 1

C:\Downloads\gusetupnew.exe Infected: Virus.Win32.Induc.a 2

 

Selected area has been scanned.

 

 

Pour info Antivir ne remonte pas d'alerte sur ces fichiers (dont un est le setup de Glary utilities)

 

A+

[Apollo]

Bonjour,

 

Pour info Antivir ne remonte pas d'alerte sur ces fichiers (dont un est le setup de Glary utilities)

 

Il ne faut pas confondre: Antivir est un bon antivirus, Kaspersky est le nec plus ultra.

On ne compare pas une Clio avec une Rolls.

Il faut supprimer les fichiers incriminés. (induc est loin d'être une plaisanterie).

 

Concernant Glary Utilities, je l'ai utilisé aussi, mais il y a longtemps que je l'ai viré; s'il s'agissait d'un faux-positif, il y a longtemps que KAV ne le détecterait plus.

 

Je l'ai viré pour deux raisons:

- Kaspersky liquidait cet exécutable.

- Les nettoyeurs de registre sont maintenant déconseillés par tous les conseillers en sécurité; c'est surtout vrai pour Vista et 7 qui sont très chatouilleux dès qu'on touche à leur registre.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  C:\Documents and Settings\Hibou\Mes documents\Install\PeerTV
  C:\Downloads\Appli\avi4cc
  C:\Downloads\Appli\avi4cc.zip 
  C:\Downloads\gusetupnew.exe 
  
  :Services
  
  :Reg
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++

[PlanT]

Oui, je sais que Kaspersky ne joue pas dans la même cour qu'Antivir. Je disais vraiment ça pour apporter une info supplémentaire. Comme j'ai lu dans les forums de Zebulon qu'Antivir était conseillé (parmi les gratuits) je voulais juste faire cette parenthèse que je pensais pouvoir être utile pour votre appréciation de l'outil et la capitalisation des infos.

 

Je prends bonne note de ta remarque sur Glary Utilities

 

Voici le rapport d'OTM :

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

C:\Documents and Settings\Hibou\Mes documents\Install\PeerTV folder moved successfully.

C:\Downloads\Appli\avi4cc folder moved successfully.

C:\Downloads\Appli\avi4cc.zip moved successfully.

C:\Downloads\gusetupnew.exe moved successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Chouette

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Hibou

->Temp folder emptied: 108168885 bytes

->Temporary Internet Files folder emptied: 1778754 bytes

->Java cache emptied: 128101 bytes

->Google Chrome cache emptied: 10050928 bytes

->Flash cache emptied: 456 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 6132 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 115,00 mb

 

 

OTM by OldTimer - Version 3.1.16.0 log created on 09122010_112441

 

Files moved on Reboot...

File C:\Documents and Settings\Hibou\Local Settings\Temp\hsperfdata_Hibou\2612 not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1A38.tmp not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1A43.tmp not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1A9D.tmp not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1AA8.tmp not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1BD0.tmp not found!

File C:\Documents and Settings\Hibou\Local Settings\Temp\~DF1BDB.tmp not found!

C:\Documents and Settings\Hibou\Local Settings\Temporary Internet Files\Content.IE5\YL5LVKBO\info[1].htm moved successfully.

C:\Documents and Settings\Hibou\Local Settings\Temporary Internet Files\Content.IE5\SNS7S3BP\pngbehavior[1].htc moved successfully.

C:\WINDOWS\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-1848.log moved successfully.

 

Registry entries deleted on Reboot...

[Apollo]

Oui merci, mais les gens veulent du gratuit, donc on leur propose le meilleur possible.

 

Antivir plutôt qu'avast, avg et même Norton (payant) parce qu'il est plus pointu; c'est la seule raison de notre conseil.

Mais si une personne me demande ce qu'il doit prendre en payant, je n'hésite pas une seconde: Kaspersky.

 

Parce que j'en ai l'expérience depuis cinq ans et que je connais sa valeur. Les expériences (payantes) avec Norton et AVG m'ont laissé un goût très amer

 

L'antivirus n'est pas suffisant, il faut lui adjoindre un firewall et un antimalware comme MBAM, voire un antispam, tout aussi gratuits. Sur Vista et 7, le firewall est potable.

 

Bref: comment va la machine?

 

Si c'est ok, lance OTM et clique sur le bouton Clean Up! Cela virera les outils spéciaux, dont lui-même.

 

-------------------------------

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

@++

[PlanT]

Et bien je crois que je peux dire que la machine fonctionne bien maintenant grâce à tes efforts.

 

Donc un grand merci à toi (et à l'équipe entière).

 

Je te souhaite une bonne fin de journée.

[Apollo]

Ok, de rien;

 

Tu peux virer MBRCheck.

 

Lutte antimalware-Infos

 

*** Il serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  Malware Complaints • View forum - La Belgique (Belgium-French Speaking)
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection TDSS TDL 3.
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
   
  

 

• Pense à éditer ton premier post pour ajouter "Résolu" dans le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

[PlanT]

Je viens de poste sur le forum des complaints et j'ai renommé le titre du topic.

 

Bonne soirée.