Infection tidserv [résolu]

[Apollo]

Eh oui, je sais bien que ce n'est pas normal, mais je suis tributaire des outils que je connais. Il en est d'autres que je ne maîtrise pas encore.

 

Je suis un amateur et non un expert en sécurité et chacun a ses limites; les infos que j'ai obtenues me font croire que le pc n'est plus infecté, ce qui ne veut pas dire qu'il ne l'est plus...

 

On a utilisé Combo et le VRT; je persiste à penser que c'est une nouvelle variante du Rootkit et il faut un certain temps pour que les éditeurs intègrent cela dans leurs bases virales.

 

Moi je veux bien te faire utiliser un autre scan (en ligne) mais cela prend beaucoup de temps.

 

Je ne pense pas cependant qu'ESET soit supérieur à Kaspersky en détection, mais si tu veux tu peux toujours le faire. (avec Explorer).

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

 

@++

[Apollo]

Voila une autre chose qui ne marche pas.

J'ai pu instaler le logiciel, changer les parametres d'affichages mais lorsque je clique sur Windows update, j'ai une fenêtre de perte de connexion: J'ai teste ma connexion, pas de soucis, j'ai verifier que les SSL et TLS (je crois) étaient bien coche comme indiqué dans la fenêtre qui s'est ouverte.

 

Tu as redémarré le pc?

 

Si tu as toujours WINDOWS Update, tu dois passer à MICROSOFT Update, la dernière version du logiciel de mises à jour.

[jul&kn]

Pas de soucis, je sais bien que tu fais ca en amateur et que tu en connais deja beaucoup

Tu m'as bien aide jusque la. Je vais tenter de voir au boulot si les informaticiens peuvent trouver qlqch. Si tu as une info, tiens moi au courant (par mail eventuellement).

Merci encore pour tout, moi je m'y connaitrais davantage en virus non virtuel

 

Tu as redémarré le pc?

 

Si tu as toujours WINDOWS Update, tu dois passer à MICROSOFT Update, la dernière version du logiciel de mises à jour.

 

 

J'ai redemarer le pc, oui, je vais verifier si c'est windows ou microsoft

C'est bien microsoft uptade, autant pour moi.

J'essaie de redemarer le pc encore une fois.

 

Si ca ne marche toujours pas, je te libere ( ) tu vas pouvoir retrouver de la tranquilite sans que je te harcele!!!!

Modifié le 17 avril 2011 par jul&kn

[jul&kn]

Rien de nouveau...

A+ merci

[Apollo]

Je suis désolé de ne pas avoir résolu tes soucis, j'ai horreur de l'échec et cela m'arrive rarement.

 

Que veux-tu, quand on a atteint les limites de ses connaissances, il faut pouvoir le reconnaître, mais cela va me rester en travers de la gorge.

 

Il faudra voir dans les prochains jours si le site propose une nouvelle version de l'outil: Comment combattre les programmes malveillants de la famille Rootkit.Win32.TDSS?

 

Et, c'est entendu, si j'ai du nouveau je te le ferai savoir d'une façon ou d'une autre.

 

@++

[MoJac]

Bonsoir jul&kn et bonsoir Apollo,

 

En accord avec Apollo, si le pb est toujours présent, je te propose cette manip:

 

- Certaines infections récentes utilisent des techniques de camouflage qui les rend "invisibles" lorsqu'on utilise le système Windows où ils sont implantés. Ces techniques de détournement de requêtes sont lancées trés tot en phase de démarrage. La seule façon de les contrer est de lancer un système indépendant en bootant sur un CD qui rend ces moyens de camouflage inopérants.

 

- Le système temporaire utilisé est basé sur XP américain. A part le clavier Qwerty qui rend les manip au clavier délicates, il n'y a aucun risque pour ta config.

 

- Il n'est pas du tout prouvé qu'on va trouver quelque chose ...

 

- Si tu es d'accord je te propose ceci:

 

Je te conseille d'imprimer la procédure qui est assez longue mais pas compliquée, ce sera ainsi plus facile.

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la procédure.

 

 

Étape 1: OTLPE (de OldTimer), Création de CD bootable

 

:ss) Sur un PC, équipé d'un graveur de CD, télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

 

 

Taille du fichier:

Mo=121

 

Une fois le téléchargement effectué:

• Introduire un cd vierge dans le graveur de CD.
  
• Double clic (XP) ou Clic droit et "exécuter en tant qu'administrateur" (Vista/Sept) sur le fichier téléchargé:
  
• Répondre "Oui" à la question Do you want to burn the CD ?
  Le programme va lancer une procédure d'extraction, puis lancer la gravure proprement dite avec 2 fenêtres ImgBurn qui permettent de suivre l'évolution.
  
• Si tout va bien une fenêtre supplémentaire s'ouvre avec l'indication "Operation Successfully Completed"
  
• Clic sur OK et fermer ImgBurn.
   
  
   
  Le CD bootable est pret

 

:ss) Étape 2: OTLPE (de OldTimer), Préparation du script d'analyse

 

Préparation d'un script d'analyse

• Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK

• Sélectionne ce qui est en gras ci-dessous.

netsvcs

hklm\software\clients\startmenuinternet|command /rs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\System32\config\*.sav

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\system32\*.dll /lockedfiles

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

/md5start

explorer.exe

winlogon.exe

Userinit.exe

svchost.exe

iexplore.exe

/md5stop

 

• Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
  
• Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
  
• Enregistrer le fichier sous le nom OTLPE-1.txt directement à la racine du disque système (en général C:\)
  
• Fermer le Bloc-notes.

 

:ss) Étape 3: OTLPE (de OldTimer), analyse

 

• Modifier le BIOS du PC infecté afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en anglais) ou ici (en français)
   
  
• Faire redémarrer le PC infecté, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
   
  
   
  
• Faire un double clic sur l'icône OTLPE.
  
• A la demande "Do you wish to load the remote registry", répondre Yes
  
• A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
  
• Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK
   
  
   
  
• L'écran principal de OTLPE s'affiche:
   
  
   
  
• Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
   
  
• Double clic sur l'icone "MyComputer" en haut à gauche du bureau de Realtogo, puis sélectionner le disque C:puis double clic sur le fichier OTLPE-1.txt ce qui va ouvrir Notepad (le bloc note Anglais):
   
  
• Dans le Bloc-notes, cliquer sur le menu Edit (en haut) et choisir Select All.
  
• Puis cliquer sur le menu Edit à nouveau (en haut) et choisir Copy.
   
  
• Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes"
   
  
   
  
• Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".
   
  
• Puis cliquer sur le bouton Run Scan:
   
  
• Laisser l'outil travailler sans l'interrompre.
  
• Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
  
• Fermer le Bloc-notes.
  
• Fermer la fenêtre de OTLPE.
   
  Le fichier rapport est sauvegardé dans C:\OTL.txt

 

:ss) Poste le contenu de C:\OTL.txt (soit directement depuis l'environnement OTLPE, mais avec un clavier QWERTY ... soit relance ta machine normalement)

 

- Si le fichier est trop gros passe par cijoint comme d'habitude et poste le lien. Patiente le temps qu'on épluche le log !

 

- Croisons les doigts.

 

A plus

Modifié le 18 avril 2011 par MoJac

[jul&kn]

Bonjour

Merci pour ta suggestion. J'ai laissé mon pc aux informaticiens du travail, je devrais le recuperer aujourd'hui. Si le probleme persiste (j'imagine), j'essaierai la procedure que tu m'indiques. Je te tiens au courant.

[jul&kn]

Salut!

L'analyse est en cours, je poste le rapport des qu'il est dispo...

a+

[jul&kn]

le rapport

Modifié le 23 mai 2011 par jul&kn

[jul&kn]

voila le lien

Modifié le 23 mai 2011 par jul&kn