tazebama évolution?

[sazaki7]

Bonjour

Ayant déjà arrivé à désinfecter plusieurs machines d'une salle info du célèbre malware tazebama (tazebama zpharaoh ssvichosst) grâce à des tutos trouvés ça et là ( et les stars de la recette étaient : Combofix , kaspersky removal tool , et d'autres petits progs) je me trouve cette fois-ci devant une 'version' récalcitrante où il m'est impossible d'exécuter n'importe quel programme exe (voire qqs com) à partir de l'invite de commande (command.com) (et à fortiori via double clic) . Quel que soit la taille de l'exe en question , le message suivant s'affiche "programme trop grand pour tenir en mémoire". J'ai réussi cependant à exécuter un utilitaire de désinfection "jeefogui.com" qui n'a rien détecté dans mon cas . Il paraît alors (à ce que j'ai lu) que les headers des exe sont altérés !? y'a t'il un moyen de réparer tout ça ?

Merci d'avance pour toute suggestion.

(Prenez en compte qu'aucun exe n'est exécutable)

[lance_yien]

Bonjour sazaki7,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et utiliser les étapes suivante en Mode normal. Si sans succès, essayer en Mode sans échec avec prise en charge du réseau.

 

Télécharger, sur le Bureau Rkill (par Grinler) depuis un de ces liens:

• Rkill.exe
  
• Rkill.com
  
• Rkill.scr
  
• Rkill.pif

 

>>> Double-cliquer sur le nouveau fichier pour lancer le programme. Son seul rôle est de désactiver les processus de certains malware et te permettre ainsi d'utiliser les outils de désinfection.

Note:

- Si après lancement le 1er ne t'aide pas plus que ça, télécharge un autre et essaies.

- Si par la suite ton PC doit redémarrer accepte et relance RKill de nouveau.

 

>>> Fermer tout et lancer Malwarebytes' Anti-Malware depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher".

 

 

Patienter jusqu'à la fin (affichage du mesage ci-dessous)

 

 

Cliquer sur OK, pour fermer ce message.

 

- Cliquer sur "Afficher les résultats" puis sur "Supprimer la sélection".

 

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet Rapport/Logs de la fenêtre principale de MBAM. Poster son contenu dans la prochaine réponse.

 

>>> ESET Online Scanner: Désactiver antivirus/ parefeu et antispyware et utiliser Internet Explorer pour faire une analyse en ligne ICI.

 

• Cliquer sur le bouton vert ESET Online Scanner button, cocher la case YES, I accept the Terms of Use et cliquer sur Start.
  
• Accepter l'installation de l'ActiveX.
  
• Cocher Scan archives et cliquer Start.
  
• Eset téléchargera la base de données et commencera le scan. Le laisser finir son scan.
  
• Sauvegarder les résultats ("Fichier" => "Enregistrer sous...") sur le Bureau en le nommant "scan-results" pour les copier/coller ici.
  
• Cocher Uninstall application on close pour supprimer ESET Online Scanner de la machine et cliquer sur Finish.

 

Rapports demandés:

• Malwarebytes Anti-Malware log
• scan-results

[sazaki7]

RE ,

Merci pour ta réponse . En fait , la machine infectée n'a pas accès à internet et ça ne m'est pas si facile de l'y connecter . J'ai exécuté les Rkill (le .pif étant introuvable sur le lien bleepincomputer) mais le message suivant s'affichait :

 

Mais l'exécution des exe demeure impossible !

Modifié le 7 novembre 2010 par sazaki7

[lance_yien]

Bonjour

 

... En fait , la machine infectée n'a pas accès à internet...

A cause de l'infection ou autre chose? Et le mode sans échec il donne quoi?

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau, OTH (par OldTimer) depuis un de ces liens:

http://oldtimer.geekstogo.com/OTH.com

http://oldtimer.geekstogo.com/OTH.exe

http://oldtimer.geekstogo.com/OTH.scr

 

Double-cliquer sur le nouveau fichier puis sur le bouton "Kill All Processes".

NE PAS essayer de fermer la fenêtre de OTH.

 

Cliquer sur le bouton "Start Misc Program".

Cliquer sur le "Poste de travail" => lecteur C:\ => "Program files" et ouvrir le dossier "Malwarebytes' Anti-Malware". Cliquer sur "mbam.exe"

 

A la fin, cliquer sur le bouton "Reboot".

 

Si ça ne fonctionne pas dis-moi au moins quel Windows tu as et s'il est en 32 ou 64bits

[sazaki7]

Pour le windows c'est windows XP 32bits .

Pour les OTH , voici les messages qui apparaissent à leur exécution :

 

 

Une information pouvant vous être utile est qu'un exécutable comme le msconfig contient des entrées suspectes que je n'ai guère ajoutées , d'ailleurs ma liste de démarrage est toujours vide.

 

 

Une autre curiosité sur ce "msconfig" c'est qu'il est inaccessible par voie directe sinon j'ai fait une recherche et l'ai trouvé dans le dossier pchealth/helpctr/binaries de Windows que je ne soupçonne pas d'être son dossier habituel/natif.

 

Modifié le 8 novembre 2010 par sazaki7

[lance_yien]

 

Une autre curiosité sur ce "msconfig" c'est qu'il est inaccessible par voie directe sinon j'ai fait une recherche et l'ai trouvé dans le dossier pchealth/helpctr/binaries de Windows que je ne soupçonne pas d'être son dossier habituel/natif.

Si, si! mais aussi dans system32\dllcache.

--

 

As-tu le CD d'installation de Windows, au cas où? J'ai l'impression que ça sent le Virut.

Une proposition avant de parler formatage:

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

Si tu n'as pas encore mis tes documents personnelles à l'abri, fais-le maintenant.

Tu auras besoin d'une clé USB et d'un CD vierge.

 

>>> Préparer un CD de démarrage: Sur un PC sain, télécharger sur le Bureau OTLPE (par OldTimer) depuis ICI

• Placer le CD dans son lecteur et double-cliquer sur OTLPEStd.exe. Ceci a pour effet d'ouvrir ImgBurn pour graver le fichier sur le CD.
  
• Si "Do you want to burn the CD?" s'affiche, choisir Yes.
  
• A la fin tu verras ce message s'afficher: "Operation successfully completed".
  Retirer le CD.
  

 

>>> Générer un rapport OTL:

• Insérer le CD dans le lecteur du PC infecté et redémarrer celui-ci. Tu auras peut-être besoin de changer l'ordre de démarrage dans le Bios (avec le CD en 1er).
  ATTENTION:
  - Les choses peuvent aller très doucement pour que le CD reconnaisse le DD et charge ton système. Prépare-toi du café
  - Surtout NE PAS REDÉMARRER CETTE MACHINE sous aucun prétexte avant que je te le dise (pour éviter tout risque de problème de redémarrage).
  - Aucune option, à ce jour por mettre le clavier en FR. Imprimer ou afficher cette image sur un autre PC à côté: http://lanceyien.info/illustrations/qwerty.png
  
• Quand, enfin ton système affiche le Bureau "Reatogo", double-cliquer sur l'icône de OTLPE.
  
• Sélectionner le dossier Windows sur le disque infecté s'il demande un emplacement.
  
• A la question "Do you wish to load the remote registry?", choisir Yes.
  
• A la question "Do you wish to load remote user profile(s) for scanning?", choisir Yes
  
• Assure-toi que la case "Automatically Load All Remaining Users" est cochée et cliquer sur OK
  
• OTL se lancera. Presser le bouton Run Scan (Analyse).
  
• A la fin un rapport s'ouvre (et sera sauvegardé comme C:\OTL.txt).
  Copier ce fichier sur la clé USB pour pouvoir le poster (clic-droit sur le fichier => "Envoyer vers" et choisir la clé USB). Vérifier ça présence sur la clé.
  Brancher sur un autre PC et poster le rapport.

Modifié le 9 novembre 2010 par lance_yien