Infection tidserv [résolu]

[jul&kn]

Bonjour MoJac,

 

Je viens de faire ce que tu m'a indiqué. Voilà les rapport.

La machine est peut-être encore un peu lente, mais je n'ai pas constaté de comportement anormal pour le moment...

Je te tiens au courant quand j'aurais fait un peu plus dessus.

Modifié le 23 mai 2011 par jul&kn

[MoJac]

Re:

 

La machine est peut-être encore un peu lente,

 

Il y a beaucoup de choses lancées sur cette machine. La plupart me semble relever de ton activité et donc difficile à supprimer.

 

Je suis défavorable à toute utilisation "d'optimiseurs" de registres qui ne font que fragiliser les systèmes Microsoft modernes (Vista/Sept)

 

Une chose qui consomme des ressources et qui ne me semble pas indispensable est Ad-Aware.

 

Dans la mesure où tu as Malwarebyte's Antimalware qui est nettement plus performant, mon avis serait de désinstaller AD-Aware et de faire régulièrement un scan après mise à jour.

 

On va commencer tranquillement à mettre un peu d'ordre.

 

1) - Mises à jour de ton système:

 

- Ta version de Java n'est pas à jour. Tu peux le vérifier ICI(actuellement Version 6 Update 24)

Lors de l'installation décocher la barre d'outil Yahoo proposée

Après mise à jour

Désinstalle toutes les anciennes versions par Ajout/Suppression de programmes si elles existent.

Les lignes ressemblent à Java X Update Y.

 

- Vérification Adobe flash player

Adobe - Flash Player

 

Faire cette vérification avec chaque navigateur et suis les instruction Téléchargement et installation qui se trouvent sur la page.

 

2) - Désinstallation des outils utilisés (première phase):

 

• Via le panneau de configuration, désinstalle ESET Scanner si présent, puis au besoin supprime les dossiers suivants:
   
  C:\Program Files\ESET
   
  
• Supprime TDSSKiller.exe de sur ton bureau.
  
• Supprime MBRCheck de sur ton bureau.
  
• Supprime antiboot.zip et antiboot.exe de sur ton bureau.
  
• Supprime MBRBackup.exe de sur ton bureau.
  
• Relance AD-R et clique sur le bouton Désinstaller
  
• Relance RogueKiller.exe et clique sur le bouton Désinstaller
  
• Relance USBFix et clique choisi Désinstaller
  Dans le dossier C\Programmes\ZHPDiag, clique sur le fichier unins000.exe
  
• Supprime launch.exe (de DrWebCureIt) de sur ton bureau et supprime de ton profile le dossier Doctor Web.
  
• Désinstalle Kav2011 via le panneau de configuration si encore présent.

 

je te propose de garder encore quelques jour OTL et ComboFix en espérant ne pas avoir à s'en servir.

 

Les désinstallations de ces 2 programme est assez sophistiquée et font aussi un peu de ménage.

 

Voilà pour le moment.

 

Reviens vers nous d'ici quelques jours (ou avant si tu as des difficultés ou des questions !) et nous finirons la désinfection par désinstallation finale et conseils de sécurité.

 

PS: je serai peu disponible ces prochains jours.

 

A plus

[jul&kn]

OK, je suis en train de faire toutes ces suppressions.

 

Merci encore pour ton expertise! Je te tiens au courant de l'évolution dans les prochains jours.

J'ai juste une questions, les supports USB que j'ai connecté pendant les différentes opérations de nettoyage sont-il contaminés? Faut-il faire quelque chose pour les vérifier?

 

Bonne semaine

[MoJac]

- A priori non, d'autant que nous avions passé USBFix qui n'avait rien trouvé ...

- Supprime les fichiers contaminés (même si dans cette configuration ils ne sont pas dangereux)

- Garde par contre une sauvegarde de ton MBR sain !

Si tu as des doutes sur tes clés le plus simple est de les formater ...

 

Bonne semaine et tiens nous au courant

[jul&kn]

Salut,

 

Bon je n'ai pas eu de problème d'alertes jusque là... juste que ça rame un peu mais là, je reviens devant mon écran de pc et là, j'ai une notification Symantec Endpoint protection que voici:

Modifié le 23 mai 2011 par jul&kn

[MoJac]

Salut,

 

Je ne suis pas chez moi. Donc un peu compliqué pour faire des analyses.

 

J'ai trouvé ça:

Bloodhound.MalPE | Symantec

 

Qui semblerait indiquer une autre forme de manifestation de cette cochonnerie. C'est dans un fichier temporaire ...

 

je suggère de tenter de vider tes fichiers temp

 

Supprime et retélacharge une version toute neuve de ComboFix et fais un scan.

 

As tu fais quelque chose de particulier en terme de surf ? Je pense qu'il y a tentative de réinfection.

 

Il y a ça aussi qui va dans ce sens:

 

That is a heuristic detection often seen when a fairly serious threat called Backdoor.Tidserv is on the network

 

Attention a ton environnement réseau, peut être une autre machine contaminée tente de propager ce truc.

 

A plus

 

[Edité] Complément d'info

Modifié le 26 avril 2011 par MoJac

[jul&kn]

Salut MoJac,

Merci pour ta réponse, pas de soucis, tu m'avais dit que tu serais difficilement joignable. Je n'ai rien fait de particulier en terme de surf (plutôt de sites genre le monde.fr ou mon mail sur yahoo...)...

Côté environnement réseau, il semble que je sois la seule avec un soucis, alors je ne pense pas non plus de ce côté là.

 

La machine a toujours tendance à ramer. J'ai regardé dans le gestionnaire de tâche pour voir quelles appli pompaient la mémoire et suivant le moment, c'est un programme dans Symmantec (RtvScan.exe), soit un plugin de Firefox (plugin-containec.exe), soit AAWTray.exe.

 

Je n'ai pas réussi à vider tout le fichier temp...

 

Sinon, j'ai relancé un ComboFix (rappart ci-dessous).

 

@+

Modifié le 23 mai 2011 par jul&kn

[MoJac]

Re:

 

Côté environnement réseau, il semble que je sois la seule avec un soucis, alors je ne pense pas non plus de ce côté là.

 

- Ok mais il faut quand même être attentif de ce coté là.

 

- Le pb sera de savoir si il y a eu ré- infection via l’extérieur de la machine par le réseau donc, ou si il restait des trucs.

 

- Nous avons passé ComboFix immédiatement aprés le redémarrage de la machine sans résultat semble t'il.

 

- Le peu de recherches que j'ai pu faire semble montrer que ce type d'infection est éradiquée par Symantec donc il y a un mystère. Nouvelle version là aussi ? Décidément on va toutes les passer en revue

 

- Cela provoque effectivement des ralentissements

 

Le fait que ce fichier DWH5.tmp ne se laisse pas supprimer n'est pas de bonne augure. Les tentatives de suppression semblent générer de nouvelles version DWH6.tmp (?)

 

Ces fichiers sont cachés le répertoire est protégé . Néanmoins tu dois pouvoir visualiser les fichiers cachés

 

[Astuce Vista] Afficher les fichiers cachés : Astuces en vrac

 

Note toutes les occurrences des fichiers DWHx.tmp éventuelle

 

 

:ss) Supprime ComboFix.exe qui est sur ton bureau et télécharge une copie nouvelle que tu placeras aussi sur ton bureau impérativement.

 

Ouvre le bloc-notes (Démarrer/Programmes/Accessoires/bloc-notes)

 

• Sélectionne tout le texte dans le cadre ci-dessous et copie-colle le dans le bloc-notes.
   
  File::
  C:\Documents and Settings\Julie\Local Settings\Temp\DWH5.tmp
   
  
• Rajoute à la liste avec la même syntaxe, les autres fichiers DWHx.tmp trouvés si nécessaire.
   
  
• Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau aussi.
   
  
• Veille à ce que tous tes logiciels de sécurité soient désactivés avant de passer à la suite.
   
  
• Fais un glisser/déposer de l'icone de ce fichier CFScript sur l'icone de ComboFix comme sur la capture:
   
  
   
  
• Lorsque la fenêtre rappelant les conditions d'utilisation apparait, clique sur OK pour lancer le script.
   
  
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
   
  Ne touche à rien tant que le scan n'est pas terminé.
   
  
• Une fois le scan achevé, un rapport va s'afficher: Poste son contenu dans ta prochaine réponse.
   
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Ça tombe vraiment mal, je garde mes petits enfants et il y a une pleine maison de monde ... Pratiquement impossible d'être au calme. Je ne serai pas là les 3 prochains jours.

 

Je tenterai de jeter un œil ...

 

A plus

[jul&kn]

Salut MoJac,

 

Je comprends bien que cela ne soit pas facile pour toi, et il fait des maisons pleine de monde... Ce sont des moment très agréables en général!

 

Alors, j'avais mis en visible les fichiers cachés pour pouvoir avoir accès aux dossier Temp. Je ne pouvais pas le vider complément depuis ma session, mais ayant une session différente sur l'odinateur, j'ai pu le vider (après le dernier ComboFix). Le soucis est que je ne rapelle pas du fameux fichier DWH et que le ne le trouve pas désormais. Je n'ai pas de trace d'un autre DWHx.tmp.

Je n'ai pas eu de nouvelle alerte depuis et le pc semble tourner de façon plus normale depuis le dernier ComboFix (plus de processus qui se lance tout seul). A voir si ça tient.

 

Je garde tes conseils sous la main en cas de nouvelle alerte et je posterai le rapport.

 

Merci encore

[lance_yien]

Bonjour jul&kn,

 

En attendant Mojac, peux-tu faire ceci stp?

 

>>> Analyse de fichier(s):

• Copier la ligne suivante (en gras) et aller sur le site Jotti.
   
  C:\WINDOWS\system32\drivers\SafeBoot.sys
   
  
• Cliquer sur Parcourir....
  
• Dans la nouvelle fenêtre, cliquer-droit dans "Nom du fichier" => "Coller" puis cliquer sur "Ouvrir".
  
• Cliquer sur Envoyer et laisser faire l'analyse.
  
• A la fin cliquer-droit sur le bouton Votre lien permanent... => "Copier l'adresse du lien".
  

Coller cette adresse dans la prochaine réponse.

 

Si Jotti est surchargé, aller sur Virustotal,