Infection tidserv [résolu]

[jul&kn]

Une petite question rapide...

Doit-il y avoir une espace ou pas dans la commande MBRFix

restorembr c:\ MBR_2011-04-23.bin (espace entre le back slash et MBR)

Il y en a un dans le commande copiee dans notepad et il n'y en a pas dans le copie d'ecran MBRFix

[MoJac]

Non pas d'espace ! :super:grr

[jul&kn]

Manips faites...

Modifié le 23 mai 2011 par jul&kn

[jul&kn]

Rapport TDSSkiller (et oui.... il s'est lancé!!!! UNE PREMIERE)

Au fait, il a trouvé 1 threat mais l'option skip été sélectionnée dans la fenêtre de résultats

Modifié le 23 mai 2011 par jul&kn

[jul&kn]

Côté comportement pc, je vois qu'il y a des mises à jours automatiques de microsoft qui sont en train d'être téléchargées... Je ne sais pas si ça peut être significatif, mais quand Apollo m"avait suggéré d'aller sur microsoft update via IE8

Pour le reste, je n'ai plus l'air d'avoir autant d'alerte symantec dès que je suis sur internet...

A voir à l'usage.

Modifié le 24 avril 2011 par jul&kn

[MoJac]

Ca a l'air pas mal tout ça !

 

A mon sens rien au niveau TDSSKiller.

 

j'épluche Combofix au cas où ...

 

As tu toujours des alertes de Symantec ?

 

Ok nos messages se sont croisés. A suivre

Modifié le 24 avril 2011 par MoJac

[jul&kn]

Je n'en ai pas eu pour le moment...

[MoJac]

Re:

 

Cette manip, si elle s'avère pérenne, nous a permis de faire un grand pas en avant face à cette peste. Merci pour ta patience !

 

Je pense qu'il est néanmoins nécessaire de faire un test de la machine avant d'aller plus loin:

 

Télécharge OTL (OldTimer) sur ton Bureau :

 

- Ferme toutes les fenêtres de programme ouvertes.

 

- Double clic sur OTL.exe pour lancer l'outil (XP).

 

Sous Windows Vista/Sept, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

- L'écran principal de OTL s'affiche:

 

 

(1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche:

 

(2) Coche (en haut) la case située devant Tous les utilisateurs:

 

NB: si le système est un 64 bit, cette caractéristique apparaitra ici. Veiller à la laisser cocher

 

(3) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone "Personnalisation" de la fenêtre OTL

 

netsvcs

hklm\software\clients\startmenuinternet|command /rs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\System32\config\*.sav

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\system32\*.dll /lockedfiles

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

/md5start

explorer.exe

winlogon.exe

Userinit.exe

svchost.exe

iexplore.exe

atapi.sys

ntfs.sys

/md5stop

 

 

(4) Puis cliquer sur le bouton Analyse:

 

- Laisser l'outil travailler sans l'interrompre.

 

• Lorsque l'outil a terminé, il y a ouverture de 2 fenêtres du Bloc-notes contenant OTL.Txt et Extras.Txt.
  
• Sélectionne et copie le contenu de ces 2 fichiers, l'un après l'autre, dans ta prochaine réponse.(au besoins fais plusieurs messages)

 

On regardera ça demain à tête reposée.

[jul&kn]

OK on verra demain

 

Voila le rapport OTL.txt

Modifié le 23 mai 2011 par jul&kn

[MoJac]

Bonjour jul&kn et Apollo,

 

L'analyse de OTL ne montre rien en terme d'infection à mon sens, quelques détails infimes qu'on va supprimer:

 

Nouvelle utilisation de OTL (de OldTimer), mais en nettoyage cette fois ci:

 

• Fais un double clic sur OTL.exe pour lancer l'outil.
   
  Ou clic droit et Exécuter en tant qu'Administrateur sous Vista/Sept
   
  
• Sélectionne très précisément tout ce qui est en gras avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL
   
   
  :OTL
  DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme)
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
  :Files
  ipconfig /flushdns /c
  :Commands
  [purity]
  [emptytemp]
  [EMPTYFLASH]
  [CREATERESTOREPOINT]
  
   
  
• Ferme toutes les fenêtres de programme ouvertes (navigateur, traitement de texte, etc...).
   
  /!\ Clique sur le bouton Correction:
   
  Note: Si le redémarrage est demandé, clique sur Oui/Yes
   
  
• Lors du redémarrage le bloc-note sera ouvert avec le contenu du fichier OTL.txt
   
  
• Poste son contenu

 

Télécharge Security Check de screen317 et enregistre le sur ton Bureau.

 

• Double-clique sur Security Check.exe afin de l'exécuter (ou clic droit et exécuter en tant qu'administrateur si tu es sous Vista).
  
• Suis les instructions affichées à l'écran.
   
  /!\ Lors de la phase "DNS Vulnerability Check: / Vulnérabilité DNS", le processus DIG.exe va demander une connexion en sortie qu'il faut autoriser.
   
   
  
• Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes.
  
• Poste le contenu dans ta prochaine réponse

 

- Il y a beaucoup de reste de la bataille sur cette machine, un peu de ménage sera nécessaire.

 

- Je te propose d'attendre quelques jours d'utilisation, afin de vérifier que tout est OK, avant de s'attaquer à cette partie.

 

Sont donc attendus:

 

• Le rapport OTL de correction.
  
• Le rapport SecurityCheck.
   
  Comment se comporte la machine ?

 

A plus