Infection tidserv [résolu]

[MoJac]

Bonjour jul&kn et Apollo,

 

Bon, il ne semble pas y avoir de driver ou service caché ...

 

Je te propose de faire quelques vérifications complémentaires:

 

:ss) Fais analyser les fichiers ci-dessous sur VirusTotal.com.

 

C:\Physical0MBR.bin

 

Pour analyser un fichier:

 

• Tu cliques sur le bouton Parcourir et tu recherches dans la fenêtre qui s'ouvre (arborescence de ton disque dur) le fichier en question.
  Ensuite tu cliques sur Envoyer le Fichier.
  
• Ton fichier va être mis en file d'attente: Votre Fichier est dans la file d'attente en position: ...
  Patiente le temps d'analyse du fichier. Ca peut durer un petit moment si le serveur est surchargé.
   
  ( Si VirusTotal indique que le fichier a déjà été analysé, (File already Submited) clique sur le bouton Ré-analyse le fichier maintenant )
  
• A la fin de l'analyse dans Situation actuelle, tu dois voir: Terminé
  Copie-colle le contenu du rapport dans ta prochaine réponse.
  

 

NB: L'analyse peut être lancée à partir d'IE ou Firefox.

 

Ensuite:

 

:ss) Télécharge USBFix de Chiquitine29 et C_XX et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  
• Si tu es sous Vista/Sept, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  - Clique sur le bouton Recherche pour lancer le scan.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) et de les mettre sous tension si nécessaire va apparaitre.
   
  
• Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse

.

 

Sont attendus:

 

• Le rapport VirusTotal à propos de ton MBR
  
• Le rapport d'analyse de USBFix

 

A plus

[jul&kn]

Voila le rapport VirusTotal

 

Antivirus Version Last Update Result

AhnLab-V3 2011.04.20.05 2011.04.20 -

AntiVir 7.11.6.212 2011.04.20 -

Antiy-AVL 2.0.3.7 2011.04.20 -

Avast 4.8.1351.0 2011.04.20 Alureon-G@mbr

Avast5 5.0.677.0 2011.04.20 Alureon-G@mbr

AVG 10.0.0.1190 2011.04.20 Win32/Alureon.MBR

BitDefender 7.2 2011.04.20 Rootkit.MBR.TDSS.B (Boot image)

CAT-QuickHeal 11.00 2011.04.20 Bootkit.TDSS.TDL4

ClamAV 0.97.0.0 2011.04.20 -

Commtouch 5.3.2.6 2011.04.20 -

DrWeb 5.0.2.03300 2011.04.20 BackDoor.Tdss.4005

eSafe 7.0.17.0 2011.04.20 -

eTrust-Vet 36.1.8281 2011.04.20 Dos/Alureon

F-Prot 4.6.2.117 2011.04.20 -

F-Secure 9.0.16440.0 2011.04.20 Rootkit.MBR.TDSS.B /(Boot image/)

Fortinet 4.2.257.0 2011.04.20 BOOT/TDSS.A

GData 22 2011.04.20 Rootkit.MBR.TDSS.B

Ikarus T3.1.1.103.0 2011.04.20 Rootkit.Win32.TDSS

Jiangmin 13.0.900 2011.04.18 -

K7AntiVirus 9.97.4428 2011.04.19 -

Kaspersky 7.0.0.125 2011.04.20 Rootkit.Win32.TDSS.mbr

McAfee 5.400.0.1158 2011.04.20 TDSS!mbr

McAfee-GW-Edition 2010.1D 2011.04.20 TDSS!mbr

Microsoft 1.6802 2011.04.20 Trojan:DOS/Alureon.A

NOD32 6057 2011.04.20 -

Norman 6.07.07 2011.04.20 TDSSmbr.A

Panda 10.0.3.5 2011.04.19 -

PCTools 7.0.3.5 2011.04.20 -

Prevx 3.0 2011.04.20 -

Rising 23.54.02.06 2011.04.20 -

Sophos 4.64.0 2011.04.20 Troj/TdlMbr-B

SUPERAntiSpyware 4.40.0.1006 2011.04.20 -

Symantec 20101.3.2.89 2011.04.20 -

TheHacker 6.7.0.1.178 2011.04.20 -

TrendMicro 9.200.0.1012 2011.04.20 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.20 -

VBA32 3.12.16.0 2011.04.20 -

VIPRE 9069 2011.04.20 Trojan.Boot.Alureon.Gen (v)

ViRobot 2011.4.20.4420 2011.04.20 -

VirusBuster 13.6.312.2 2011.04.19 -

[jul&kn]

Et le rapport USBFix

Je n'avais branché qu'une fois mon disque dur externe pour la verif avec un des logiciels Kapersky ce weekend

J'ai toujours des message de mon antivirus quand je suis sur internet!

 

J'attends ton avis

Merci

Modifié le 23 mai 2011 par jul&kn

[Apollo]

Bonsoir,

 

MoJac ne sera pas disponible avant demain au moins.

 

Pour ce qui est d'une infection usb, on y reviendra car USBFIX ne dit rien sur certains fichiers suspects; on refera des analyses pour ça.

 

Mais pour ce qui est du principal problème, j'ai remarqué que Kasper avait fait une modification aujourd'hui sur les tools Antiboot et TDSSKIller. (mais sur le site anglophone...)

 

Je te propose tout d'abord de faire ceci:

 

Débarrasse-toi des TDSSKiller que tu as téléchargé jusqu'à présent, on reprendra un autre plus tard.

 

Télécharge antiboot.zip et enregistre-le sur le bureau (et pas ailleurs):

 

Décompresse le dossier.zip: 7-Zip

 

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous:

 

Si un dossier jaune nommé antiboot est sur le bureau -->

 

"%userprofile%\bureau\antiboot\antiboot.exe" -l c:\logfile.txt

 

*** Si les fichiers sont décompressés directement sur le bureau (antiboot.exe et un fichier eula.txt) -->

 

"%userprofile%\bureau\antiboot.exe" -l c:\logfile.txt

 

Une fenêtre noire va s'ouvrir; laisse travailler l'outil.

Si le message suivant apparait: "rootkit has been detected! Would you like to cure? " , tu auras le choix: Y/N : presse la touche Y.

 

L'outil va désinfecter puis demander un redémarrage. Toutes les applications doivent être fermées (sauf l'outil) presse alors la touche Y (yes) et valide par la touche Enter (entrée) du clavier.

 

*** Si le pc n'est pas infecté par ce rootkit, l'outil le signalera par ce message: "No infected disks found".

 

Poste le rapport qui se trouve sur le C:\logfile.txt

 

@++

[jul&kn]

Bonsoir Apollo,

 

Je viens de faire l'analyse que tu m'as indiqué.

'No infected disks found'... voir le rapport ci dessous

 

Log started....

Unpacking driver

 

Starting up driver

No Infected Disks found

[Apollo]

Cette saleté se planque bien, c'est à y perdre son latin.

 

On va voir si le TDSSKiller modifié aujourd'hui va se décider à s'initialiser:

 

Commme DrWeb le reconnait; on aura encore la possibilité d'utiliser DrWeb Cureit si cela ne veut toujours pas fonctionner.

 

Télécharge TDSSKIller ici: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

 

Je pense que tu connais bien son fonctionnement à présent

 

@++

[jul&kn]

Et ben non, ca ne marche toujours pas

[Apollo]

Bon ben on va voir ce que peut faire DrWeb:

 

Le tuto est assez ancien mais les manip ne doivent pas avoir changé radicalement.

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe --> renomme-le en 123DW.com avant de l'enregistrer.

 

Dans le champ "type", choisis "tous les fichiers". Enregistre-le alors sur ton bureau.

 

 

Faire l'analyse en mode sans échec

Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

• Double clique launch.com et ensuite clique sur Analyse;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ouvrir le fichier avec le bloc-notes puis sauvegarder ce fichier.
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

 

+++

[jul&kn]

Première partie de l'analyse terminée (analyse rapide) et il a trouvé un BackDoor.Tdss.565 qu'il a éradiqué dans un processus de mémoire.

Je viens de lancer la seconde analyse.

[jul&kn]

Analyse en cours. Pour le moment, il a trouve un Backdoor.Tdss.4005 dans le fichier Physical0MBR quie MoJac m'a demande d'analyser ce matin et un Trojan.Siggen2.25631 dans OTL.exe

Je copie le rapport quand il aura termine (ou demain matin en fonction du temps que ca prend)

Bonne soiree