[Résolu] Possible infection

[Ragnarork]

Bonjour à tous.

 

Je viens vous exposer mon problème après de vaines tentatives de le régler. Vu que je ne sais pas vraiment de quel ordre est ce problème, je le poste ici car je le pense lié à une infection, mais si jamais il s'avère que non, peut être pourrait il être déplacé.

 

Mon problème est qu'au bout d'un certain temps de fonctionnement, mon ordinateur adopte un comportement bizarre. Des touches sont activées un peu au hasard, en permanence (lettre, espaces, tabulations), et ce, même lorsque je débranche mon clavier.

 

J'ai suspecté une infection par un virus ou un rootkit, et ai donc effectué les scans correspondant. AVG Anti-Rootkit m'a sorti une entrée qu'il appelle "Hidden Driver File", située dans C:\Windows\System32\Drivers, sous la forme d'un fichier nommé [8 lettre ou chiffre].SYS. Après avoir supprimé celui-ci, AVG ARK me demande de reboot. Au démarrage suivant, un nouveau scan montre encore un rootkit avec un nom composé de la même façon.

 

Ces deux évènements sont-ils liés ? J'ai vu sur le net que ces rootkits pouvait être la conséquence de l'utilisation de Daemon Tools ou d'Alcohol qui les utilisent pour éviter une détection par les logiciels propriétaires, mais je n'utilise aucun de ces programmes. (Je les ai utilisés, mais désinstallés depuis).

 

Cordialement,

Ragnarork.

Modifié le 24 août 2011 par Ragnarork

[lance_yien]

Bonjour Ragnarork,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

Des touches sont activées un peu au hasard, en permanence (lettre, espaces, tabulations), et ce, même lorsque je débranche mon clavier: Cela consiste en quoi exactement, autrement dit comment tu vois qu'une touche a été activée?

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• Malware Bytes Anti-Malware depuis ici.
• Security Check (par screen317) depuis ici ou ici.
• TDSSKiller.zip depuis ici.

 

>>> Utiliser Malwarebytes' Anti-Malware (MBAM): Fermer toutes les applications et fenêtres ouvertes et double-cliquer sur mbam-setup.exe (pour Vista/ Windows7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les indications en laissant tout par défaut. Cliquer sur "Terminer" sans rien changer.

- Lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher". Patienter jusqu'à la fin (affichage de "L'examen s'est terminé normalement...") et cliquer sur OK, pour fermer ce message.

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet "Rapport/Logs" de la fenêtre principale de "MBAM". Poster son contenu dans la prochaine réponse.

 

 

>>> TDSSKiller: Dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici". Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

• Fermer toutes les fenêtre et applications en cours et désactiver antivirus et tout autre programme de protection.
  Double-cliquer sur TDSSKiller.exe (pour Vista/ Windows7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.
   
  
• Cliquer sur le bouton Start Scan et patienter jusqu'à la fin de l'analyse.
   
  
• Si un fichier infecté est détecté, l'action par défaut sera Cure. Cliquer sur le bouton Continue Sans rien changer
   
  
• Si un fichier suspect est détecté, l'action par défaut sera Skip. Cliquer sur le bouton Continue Sans rien changer.

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton Reboot Now. Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt). Poster son contenu.

Si aucun redémarrage n'est requis, cliquer sur Report. Un fichier texte s'ouvre et sera sauvegardé de la même manière, poster son contenu.

 

 

>>> Utiliser SecurityCheck: Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur "SecurityCheck.exe" (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe, acceptez.

Le Rapport checkup.txt s'ouvre à la fin. Poster son contenu.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

Poster son contenu.

 

 

Rapports demandés:

• Malwarebytes Anti-Malware log
• TDSSKiller_log.txt
• checkup.txt

Un chagement quelconque?

[Ragnarork]

J'ai effectué tous les test et les résultats sont tous négatifs. Je pourrais toujours poster les comptes rendus, mais ça n'est pas super palpitant...

 

Sinon, pour décrire le problème, il me suffit de laisser le curseur dans un champ de saisie quelconque pour que cela arrive.

 

(Ceci étant, ça fait un bout de temps que ça n'arrive plus, je verrais si sur le long terme ça reste stable).

[lance_yien]

Si tu veux continuer colle les rapports demandés.

[Ragnarork]

Results of screen317's Security Check version 0.99.18

Windows 7 Service Pack 1 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

AVG Anti-Rootkit Free

Avira AntiVir Personal - Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

MVPS Hosts File

Malwarebytes' Anti-Malware

CCleaner

Java 6 Update 26

Java SE Development Kit 6 Update 24

Java DB 10.6.2.1

Adobe Flash Player 10.3.183.5

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

 

 

 

 

 

 

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7546

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514

 

23/08/2011 19:13:23

mbam-log-2011-08-23 (19-13-23).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 169440

Temps écoulé: 3 minute(s), 28 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

 

 

2011/08/23 21:02:27.0561 0600 TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57

2011/08/23 21:02:27.0925 0600 ================================================================================

2011/08/23 21:02:27.0925 0600 SystemInfo:

2011/08/23 21:02:27.0925 0600

2011/08/23 21:02:27.0925 0600 OS Version: 6.1.7601 ServicePack: 1.0

2011/08/23 21:02:27.0925 0600 Product type: Workstation

2011/08/23 21:02:27.0925 0600 ComputerName: ELYANE-PC

2011/08/23 21:02:27.0925 0600 UserName: Elyane

2011/08/23 21:02:27.0925 0600 Windows directory: C:\Windows

2011/08/23 21:02:27.0925 0600 System windows directory: C:\Windows

2011/08/23 21:02:27.0925 0600 Processor architecture: Intel x86

2011/08/23 21:02:27.0925 0600 Number of processors: 8

2011/08/23 21:02:27.0925 0600 Page size: 0x1000

2011/08/23 21:02:27.0925 0600 Boot type: Normal boot

2011/08/23 21:02:27.0925 0600 ================================================================================

2011/08/23 21:02:28.0897 0600 Initialize success

2011/08/23 21:02:29.0813 2668 ================================================================================

2011/08/23 21:02:29.0813 2668 Scan started

2011/08/23 21:02:29.0813 2668 Mode: Manual;

2011/08/23 21:02:29.0813 2668 ================================================================================

2011/08/23 21:02:33.0160 2668 MBR (0x1B8) (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk1\DR1

2011/08/23 21:02:33.0170 2668 Boot (0x1200) (41dd33de47065f45be170f4ee1d4d264) \Device\Harddisk1\DR1\Partition0

2011/08/23 21:02:33.0174 2668 ================================================================================

2011/08/23 21:02:33.0174 2668 Scan finished

2011/08/23 21:02:33.0174 2668 ================================================================================

2011/08/23 21:02:33.0182 2464 Detected object count: 0

2011/08/23 21:02:33.0182 2464 Actual detected object count: 0

 

 

Voila !

Merci pour le temps passé !

 

Cordialement,

 

Ragnarork

[lance_yien]

Bonjour,

 

C'est OK!

Quelques suggestions. Si certaines ne s'appliquent pas à ton système,ignore-les simplement.

 

>>> Supprimer les utilitaires et leur rapports (sur le Bureau et/ou à la racine de la partition système) en cliquant-droit => "Supprimer".

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Ordinateur" => "Propriétés" => "Protection Système". Cliquer sur le nom de la partition système (généralement C:) puis sur "Configurer" => "Supprimer" => "Continuer" (pour confirmer).

Cliquer sur "Fermer" puis "OK" => "OK" et attendre un moment.

Retourner dans "Protection système" et cliquer sur la partition => "Configurer" et sélectionner "Restaurer les paramètres système et les versions précédentes des fichiers"

Cliquer sur "OK" => "OK" et fermer la fenêtre.

Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Vérifier/ Activer l'UAC: Parce qu'il y a de plus en plus de malware qui exploitent la désactivation de l'UAC (contrôle de compte utilisateur) de Windows (Vista et W7) pour installer des rootkits et parce que les pirates arrivent à le désactiver à distance pour prendre le contrôle d'une machine, garder ce module activé même s'il paraît, des fois, énervant. Ne leur facilitons pas la tâche.

Cliquer sur "Démarrer" => "Panneau de configuration". Cliquer sur " Comptes d'utilisateurs..." => "Modifier les paramètres de contrôle de compte utilisateur."

Régler le curseur comme indiqué ci-dessous:

 

 

 

>>> StartUpLite Il y a toujours des programmes qui se lancent initulement en même temps que Windows.

Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.

Fermer toutes les applications et autres fenêtres en cours et cliquer-droit sur StartUpLite.exe => "Exécuter en tant qu'administrateur" pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique.

Sélectionner ces entrées affichées et cliquer sur "Continue".

S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.

 

 

>>> Protéger/ Sécuriser: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware.

• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions.
  - Ceux de Vista/ Windows 7 peuvent suffire, juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui inclus dans Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
   
  
• Contrôler et configurer les mises à jour Windows:
  - Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - ET, optez (si ce n'est pas encore fait) pour une MAJ Automatique à une heure où vous êtes sûr que votre PC n'est pas éteint.
   
  
• Installer PSI de Secunia pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
   
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
   
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit. Tuto.
   
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) avec MKV contre les "vers" (Autorun worms). Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
   
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
   
  
• Nettoyer (CCleaner) et dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur les boutons "Modifier" => "Utiliser l'éditeur complet".

 

Bonne chance!

[Ragnarork]

Merci bien pour toutes ces recommandations !

 

Cordialement,

 

Ragnarork.

[lance_yien]

Au plaisir!

[Dylav]

Salut Ragnarork, Lance_yien,

 

Lance_yien, les recommandations de ton message #6 ci-dessus méritent d'être épinglées !

Je vais en tout cas me les mettre au chaud pour les suivre avec application…

 

@+

Dylav

[lance_yien]

Bonsoir à tous,

 

Dylav, merci pour tes appréciations.

Je t'envoie un MP d'ici demain matin.

 

Bonne soirée!