Infections Multiples

[Goldust]

J'ai bien peur que le résultat ne soit négatif:

VirusTotal - Free Online Virus, Malware and URL Scanner

[Apollo]

Ce serait beau si c'était vrai mais l'échec d'initialisation de TDSSKiller me dit qu'il y a un TDL4 qui se charge avant Windows et qu'il laisse apparaître un fichier sain, mais que cette bête se planque de mieux en mieux.

 

On va envoyer ComboFix; surtout ne prends pas peur s'il devait redémarrer plusieurs fois, c'est arrivé sur un autre sujet mais finalement la dernière bonne configuration connue serait choisie.

 

Il va liquider une bonne partie des malwares présents mais s'il signale une infection MBR , il ne la corrigera pas; c'est à moi de trouver.

 

Il y a une solution par CD bootable pour réparer le mbr mais je ne l'ai encore jamais utilisée. On va voir ce que raconte CF.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[Goldust]

Avant de me lancer dans la manipulation, est ce possible, que TDSSKiller n'ait pas fonctionné car j'étais en mode sans échec ?

 

En lançant CF il me dit que avast et antivir sont en cours d'utilisation alors que c'est faux. J'ai désactivé Avast comme suivant le tuto et je n'ai même pas Antivir, je n'y comprends plus rien.

 

Je continue quand même ? Un message me prévenant que l'action va se faire à mes risques et périls.

Modifié le 23 avril 2011 par Goldust

[Apollo]

Non, les indications sur le site Kasper pour cet outil indique bien qu'il est utilisable sous ce mode aussi.

 

++

[Goldust]

D'accord, donc je vais faire la manip.

PS: J'ai édité mon message précédent.

[Goldust]

Voila j'ai fait la manipulation, j'ai même du la faire 2 fois. La première fois la console de récupération n'a pas voulu se télécharger.

 

1er Rapport : Cijoint.fr - Service gratuit de dépôt de fichiers

 

2e Rapport: (Avec console): Cijoint.fr - Service gratuit de dépôt de fichiers

Le problème vient d'ici non ?

 

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Windows 5.1.2600 Disk: STM3500418AS rev.CC38 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-8

.

device: opened successfully

user: MBR read successfully

error: Read Un périphérique attaché au système ne fonctionne pas correctement.

kernel: MBR read successfully

detected disk devices:

detected hooks:

\Driver\atapi DriverStartIo -> 0x8AEB3332

user & kernel MBR OK

 

J'espère que le rapport est significatif.

 

Je te remercie pour ton aide Apollo

Modifié le 23 avril 2011 par Goldust

[Goldust]

J'ai comparer le nouveau ZHP diag avec l'ancien. En rouge gras ce qui est encore présent.

 

---\\ Scan Additionnel (O88)

Database Version : 6152 - (21/04/2011)

[HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom] =>PUP.OfferBox

[HKLM\Software\mozilla\Firefox\Extensions]:[email protected] =>PUP.OfferBox

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}] =>Adware.AskTBar

[HKCR\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}] =>Adware.AskSBar

[HKLM\Software\Classes\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}] =>Adware.AskSBar

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple

[HKCR\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple

[HKLM\Software\Classes\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob

[HKCR\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob

[HKLM\Software\Classes\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple

[HKCR\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple

[HKLM\Software\Classes\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple

[HKCR\TypeLib\{ed85aebe-f834-4088-b5d3-97eb2478a6cd}] =>Adware.AskSBar

[HKLM\Software\Classes\TypeLib\{ed85aebe-f834-4088-b5d3-97eb2478a6cd}] =>Adware.AskSBar

C:\Program Files\OfferBox =>PUP.OfferBox

C:\Program Files\PriceGong =>Adware.PriceGong

C:\Documents and Settings\Administrateur\Application Data\OfferBox =>PUP.OfferBox

C:\Documents and Settings\Administrateur\Application Data\PriceGong =>Adware.PriceGong

[Apollo]

Re,

 

On s'occupera d'ask Machin après, on a un problème plus important à corriger.

 

Un développeur/équipe sécurité de zeb m'a contacté par mp et me propose un batch de sa création, on va l'essayer, il n'y a pas de risque mais ce n'est pas garanti que cela fonctionne vu que l'outil est tout nouveau.

 

Sinon on utilisera la console de récup qui vient d'être installée Par Combofix

Il faudra que je t'explique comment allonger un peu le temps d'apparition du choix de démarrages pour avoir le temps de choper la ligne de la console car 2 secondes c'est trop court.

 

1.télécharge KillSvchost.bat sur ton bureau

http://jeanmimigab.perso.neuf.fr/KillSvchost.bat

2.Fais un double-clic sur TDSSKilller pour le lancer, mais ne clique pas sur "Start scan"

3.Fais un double-clic sur KillSvchost.bat

4.Dans la fenêtre de TDSSKiller, clique sur "Start Scan", et si cette fois le scanne de TDSSKiller est arrivé à 100% suis les instructions de TDSSKiller et clique sur "Continue" (en bas à droite).

NOTE: Si TDSSKiller n'arrive pas a redémarrer ton pc pour effectuer la correction, éteins le manuellement en utilisant le bouton On/off du PC

De même si TDSSKiller a échoué à 80%, tu seras obligé de redémarrer ton PC avec le bouton ON/OFF

 

@++

[Goldust]

Re,

 

En fait dès que je double clique sur TDSSKiller pour le lancer, un chargement d'initialisation apparait et c'est à 80 % de ce chargement que l'outil plante. Je n'ai pas encore eu accès à une fenêtre m'invitant à lancer le scan.

 

Du coup, juste après avoir cliqué sur TDSSKiller, j'ai cliqué sur KillSvchost une fenêtre s'est ouverte. A la fin de l'opération le PC à redémarrer.

 

J'ai louper le coche pour démarrer en mode sans échec et me suis retrouvé en démarrage normal. La le PC à démarrer normalement et n'a pas planté, ce qui est une première depuis 2 jours !

 

Tu es sur la bonne voie apparemment.

 

Tant que j'y étais, j'ai tenté de faire un TDSSKiller mais idem que sur le mode sans échec, l'outil plante au bout de 80% de l'initialisation.

Modifié le 23 avril 2011 par Goldust

[Apollo]

Ok, attends un peu pour voir ce qui se passe.

 

J'imagine que le créateur de l'outil a un oeil sur le sujet et prendra les dispositions qu'ils trouvera nécessaires.

 

Si ça ne fonctionne pas on fera un fixmbr avec la console.

 

Il faudra d'abord faire ceci:

 

Si la console de récupération est installée sur XP, Windows ne laisse que très peu de temps pour choisir de démarrer sur le système ou sur la console. (2 secondes par défaut). C'est très court pour réagir.

 

Pour allonger un peu ce temps de réaction, allez dans le panneau de configuration, double-cliquez sur Système puis cliquez sur Avancé/Propriétés système. Cliquer sur Démarrage et récupération/paramètres.

 

Changer la valeur indiquée à "Afficher la liste des systèmes d'exploitation pendant x secondes": augmentez à 8 secondes.

 

 

Cliquez alors sur "Modifier".

 

:att: Le fichier boot.ini va s'ouvrir en forme de fichier texte.

 

N'y touchez pas, fermez la fenêtre en cliquant sur la croix en haut à droite.

 

Cliquez ensuite sur /ok/appliquer/ok.

 

Vous disposerez désormais de 8 secondes à chaque boot du pc pour choisir de démarrer soit sur la console de récupération soit sur le système.

 

Si vous ne touchez à rien pendant ce laps de temps, Windows bootera sur le système.

 

Et si vous souhaitez démarrer de suite sur le système, interrompez le décompte en pressant la touche Enter du clavier.

 

++

Modifié le 23 avril 2011 par Apollo