Infection tidserv [résolu]

[jul&kn]

Fini!

Voilà le rapport

Ca fait presque plaisir de lire quelque part 'eradiqué', mais j'attends d'avoir vos avis/conseils!

 

 

Processus en mémoire: C:\WINDOWS\system32\svchost.exe:864;;BackDoor.Tdss.565;Eradiqué.;

Physical0MBR.bin;C:\;BackDoor.Tdss.4005;Irréparable.Quarantaine.;

OTL(2).exe;C:\Documents and Settings\Adm\Bureau;Trojan.Siggen2.25631;Irréparable.Quarantaine.;

OTL(2).exe;C:\Documents and Settings\Adm\Mes documents\Téléchargements;Trojan.Siggen2.25631;Irréparable.Quarantaine.;

[Apollo]

Bonjour,

 

Beau travail de DrWeb mais dommage qu'il n'ait pas pu réparer le TDSS 4005 car c'est lui la cause de touts tes soucis.

 

Télécharge une nouvelle copie de TDSSKIller et retente un petit coup avec lui.

 

Sinon, je vais toujours chercher une autre soluce aucazou.

 

Bonne Journée Julie

[jul&kn]

Bonjour Apollo,

 

Ben non... toujours pas! La salle bête gène toujours autant!

Bonne journee a toi aussi

[Apollo]

Re,

 

Fais analyser C:\Physical0MBR.bin sur le moteur

 

Kaspersky

File Scanner: Online Scanner et donne-moi le résultat. J'espère que le fichier ne dépasse pas la limite de poids.

 

Fais-le ensuite réexaminer par Virus Total comme expliqué par MoJac plus haut.

 

@++

[jul&kn]

Voila le rapport du online scanner (le fichier est maintenant en quarantaine et plus directement sur C:)

 

Statistics:

Physical0MBR.bin - infected by Rootkit.Win32.TDSS.mbr

Known viruses: 5301634 Updated: 21-04-2011

File size (Kb): 1 Virus bodies: 1

Files: 1 Warnings: 0

Archives: 0 Suspicious: 0

 

Et pour Virus total

 

Antivirus Version Last Update Result

AhnLab-V3 2011.04.21.01 2011.04.21 -

AntiVir 7.11.6.219 2011.04.21 -

Antiy-AVL 2.0.3.7 2011.04.21 -

Avast 4.8.1351.0 2011.04.20 Alureon-G@mbr

Avast5 5.0.677.0 2011.04.20 Alureon-G@mbr

AVG 10.0.0.1190 2011.04.20 Win32/Alureon.MBR

BitDefender 7.2 2011.04.21 Rootkit.MBR.TDSS.B (Boot image)

CAT-QuickHeal 11.00 2011.04.20 Bootkit.TDSS.TDL4

ClamAV 0.97.0.0 2011.04.21 -

Commtouch 5.3.2.6 2011.04.21 -

Comodo 8417 2011.04.21 -

DrWeb 5.0.2.03300 2011.04.21 BackDoor.Tdss.4005

Emsisoft 5.1.0.5 2011.04.21 Rootkit.Win32.TDSS!IK

eSafe 7.0.17.0 2011.04.20 -

eTrust-Vet 36.1.8282 2011.04.20 Dos/Alureon

F-Prot 4.6.2.117 2011.04.21 -

F-Secure 9.0.16440.0 2011.04.21 Rootkit.MBR.TDSS.B \(Boot image\)

Fortinet 4.2.257.0 2011.04.21 BOOT/TDSS.A

GData 22 2011.04.21 Rootkit.MBR.TDSS.B

Ikarus T3.1.1.103.0 2011.04.21 Rootkit.Win32.TDSS

Jiangmin 13.0.900 2011.04.21 -

K7AntiVirus 9.97.4439 2011.04.20 -

Kaspersky 7.0.0.125 2011.04.21 Rootkit.Win32.TDSS.mbr

McAfee 5.400.0.1158 2011.04.21 TDSS!mbr

McAfee-GW-Edition 2010.1D 2011.04.20 TDSS!mbr

Microsoft 1.6802 2011.04.20 Trojan:DOS/Alureon.A

NOD32 6059 2011.04.21 -

Norman 6.07.07 2011.04.20 TDSSmbr.A

Panda 10.0.3.5 2011.04.20 -

PCTools 7.0.3.5 2011.04.20 -

Prevx 3.0 2011.04.21 -

Rising 23.54.02.06 2011.04.20 -

Sophos 4.64.0 2011.04.21 Troj/TdlMbr-B

SUPERAntiSpyware 4.40.0.1006 2011.04.21 -

Symantec 20101.3.2.89 2011.04.21 -

TheHacker 6.7.0.1.180 2011.04.21 -

TrendMicro 9.200.0.1012 2011.04.21 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.21 -

VBA32 3.12.16.0 2011.04.20 -

VIPRE 9077 2011.04.21 Trojan.Boot.Alureon.Gen (v)

ViRobot 2011.4.21.4421 2011.04.21 -

VirusBuster 13.6.313.2 2011.04.20 -

[MoJac]

Bonjour jul&kn et Apollo,

 

Passage rapide.

 

Attention récupère précieusement cet exemplaire de MBR. Nous allons le faire remonter aux développeurs afin d'adapter leurs outils.

 

Apollo te donnera la procédure.

 

On s'occupe de ton cas. Encore un peu de patience !

 

Bon courage

[Apollo]

Voici ce que je te propose de faire:

 

Si le fichier est dans la quarantaine de Symantec, restaure-le à son emplacement initial;;

 

Compresse ce Physical0MBR.bin en y mettant le mot de passe infected et héberge-le chez ci-joint ou sendspace. Donne le lien par Message privé à MoJac ainsi qu'à moi-même. Nous allons faire remonter ce fichier aux éditeur d'antivirus et aussi aux créateurs d'outils spéciaux comme ComboFix à des fins d'analyses poussées et dans le but d'améliorer la détection/réparation de cette vermine.

 

Je te conseille de déconnecter physiquement le pc du net (retirer le câble de la tour ou couper la connexion wi-fi pendant la désinstallation et l'installation de Kaspersky Antivirus; ne le reconnecte que pour activer la licence d'évaluation et la mise à jour de l'AV. Télécharge l'exe de KAV avant, bien sûr. (sur le bureau).

 

Ensuite, désinstalle provisoirement Symantec (après avoir sauvegardé tes infos de licence!) si besoin est avec cet utilitaire: Remover Symantec/Norton

 

Après la désinstallation, active le firewall de Windows XP (c'est mieux que rien).

 

Télécharge une version d'évaluation d'un mois de KAV 2011: Kaspersky Anti-Virus

 

Comment activer une version d'évaluation de Kaspersky Anti-Virus 2011 ?

 

Lorsque Kasper sera installé et mis à jour, lance d'abord une analyse rapide (elle doit scanner les secteurs de boot) Une analyse complète pourra être pratiquée plus tard.

 

@++

[jul&kn]

Ce n'est pas dans la quarantaine de Symantec mais dans celle DrWEB...

Pour la restauration, je procède comment?

[Apollo]

Re,

 

Excuse-moi mais j'ai quelques problèmes de connexion.

 

Si l'ordi appartient à une société, il vaut mieux avoir leur permission, mais je trouve qu'ils protègent bien mal des pc de travail avec Symantec/Norton; il est de notoriété publique que cette solution est une passoire.

 

La quarantaine de CureIt se trouve, je crois, dans %userprofile%\DoctorWeb\quarantaine (généralement "c:\Documents and Settings...").

 

Je vais demander à un autre collègue s'il sait comment rétablir un fichier mis en quarantaine de CureIt; j'ai beau chercher, je trouve des tutos mais rien sur la restauration d'un fichier.

 

Question: est-ce que le pc a été redémarré depuis l'analyse avec DRWeb Cureit?

 

Si c'est non, ne le fais pas, car le fichier étant en quarantaine, le pc pourrait de plus redémarrer.

 

@++

[jul&kn]

Non, le démarrage ne s'est pas fait depuis CureIt,

Je l'ai localisé, mais il est toujours dans la quarantaine!