[résolu] Infection TDSS - TornTV - OpenCandy

[Oulh]

Bonjour,

 

Mon ordinateur ralentissant et le ventilateur me semblant plus actif que la normale, j'ai passé un ZHPDiag et, oh surprise !

Je ne sais pas comment j'ai chopé ces trucs ...

Quelqu'un pourrait m'aider svp ?

Merci d'avance.

 

http://cjoint.com/?CIfmCZssaT1

 

PS : c'est une nouvelle version ... on ne voit plus les malwares en rouge ! C'est fait exprès ?

Modifié le 11 septembre 2013 par Oulh

[pear]

La première étape avant tout processus de suppression de rootkit doit être une sauvegarde de toutes vos données.
Selon l'infection , Malwarebytes peut faire des modifications dans le Master Boot Record et la Table des partitions de votre disque dur lors du nettoyage de votre ordinateur.
Comme une modification incorrecte de ces emplacements peut empêcher votre ordinateur de démarrer correctement, il est toujours sage d'effectuer une sauvegarde complète de toutes vos données avant d'effectuer une suppression de rootkit.

Télécharger Malwarebytes Anti-Rootkit

Décompresser sur le bureau
Ouvrir le dossier et clic droit mbar.exe pour Exécuter avec droits Administrateur
Mettre à jour la base de définition virale.
en cliquant sur le bouton Update.
Suivez les instructions de l'assistant
Vérifier que les éléments à analyser Drivers (Pilotes), Sectors (Secteurs), et System (Système) sont sélectionnés puis cliquer sur le bouton Scan (Analyser).

Patientez le temps de la recherche.
ceci apparait:

Assurez vous que tout soit bien coché
Cliquez sur le bouton Cleanup(Nettoyage)pour supprimer toutes les menaces et redémarrez si vous êtes invité à le faire.
Attendez que le système s'arrête et que le processus de nettoyage soit effectué.
Relancez une analyse avec Malwarebytes Anti-Rootkit pour vérifier qu'il ne reste aucune menace .
S'il en restait, cliquez sur Cleanup(Nettoyage) une fois de plus et répétez le processus.
S'il n'y a pas d'autres menaces trouvées, vérifier que le système fonctionne maintenant normalement, en s'assurant que les éléments suivants sont fonctionnels:
Accès Internet
Windows Update
Pare-feu Windows
S'il ya des problèmes supplémentaires avec votre système, comme l'un des processus ci-dessus ou autre ,
Cliquez mbar->plugin->"fixdamage '
appuyer sur la touche Y du clavier et le programme va effectuer toutes les corrections nécessaires.
A la fin, un message dira d'appuyer sur n'importe quelle touche pour quitter.
Pour que les modifications prennent effet, redémarrer l'ordinateur.
Vérifier ensuite que le système fonctionne normalement.
Envoyer en réponse les deux rapports d'exécution créés par l'outil,
mbar-log-AAAA-MM-JJ (hh-mn-ss).txt et system-log.txt, qui se trouvent dans le dossier mbar.

Comment poster les rapports

Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.



.

Modifié le 5 septembre 2013 par pear

[Oulh]

Merci pour ton aide !

 

mbam-log : http://cjoint.com/?CIfrtRmcIzG

system-log : http://cjoint.com/?CIfrvT3kdrH

L'accès à internet est ok

Windows update fonctionne

J'ai remplacé le pare-feu windows par Comodo et il est opérationnel

 

zhpdiag 2 : http://cjoint.com/?CIfrJOexPzW

Modifié le 5 septembre 2013 par Oulh

[pear]

Bien.

 

Vous devez trouver sur le bureau ces 3 icônes .

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]



O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS
[HKLM\Software\Google\Chrome\Extensions\nbmafkdmkkckhggblphicnnhlgljnoje] =>Hijacker.TornTV
[HKLM\Software\Unlocker\OpenCandy] =>Adware.OpenCandy
C:\Users\Danoulh\AppData\Roaming\Mozilla\Firefox\Profiles\4h8dtaa3.default\prefs.js (.not file.) => Fichier absent
O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent
[HKLM\Software\PCTools] => PCTools
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\31406129.sys . (...) -- C:\Windows\System32\Drivers\31406129.sys (.not file.) => Fichier absent
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\31406129.sys . (...) -- C:\Windows\System32\Drivers\31406129.sys (.not file.) => Fichier absent
O53 - SMSR:HKLM\...\startupreg\vProt [Key] . (.Pas de propriétaire - VProtect Application.) -- C:\Program Files\AVG SafeGuard toolbar\vprot.exe
O53 - SMSR:HKLM\...\startupreg\vspdfprsrv.exe [Key] . (...) -- C:\Program Files\PDF Pro 10\vspdfprsrv.exe (.not file.) => Fichier absent
[MD5.2A00675C8B0105BF938F22DAA5FC9B79] [sPRF][01/09/2013] (...) -- C:\Users\Danoulh\AppData\Local\Temp\Quarantine.exe [344507] => Temporary file not necessary
[HKCU\Software\AVG SafeGuard toolbar] =>Toolbar.AVGSafeGuard

EmptyTemp
EmptyClsid
Proxyfix
FirewallRaz
SysRestore



Cliquer sur "Go" |2]

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]
Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[Oulh]

ZHPFix : http://cjoint.com/?CIfsFSnK8Az

[pear]

Ok!

 

Comment va la machine ?

[Oulh]

Mieux j'ai l'impression mais est-ce pour autant que c'est terminé ?

 

Edit : ça rame encore un peu peut-être par moment sur internet ...

 

ZHPDiag 3 : http://cjoint.com/?CIgjpVMn9HX

Modifié le 6 septembre 2013 par Oulh

[pear]

 

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent

 

 

Le rootkit ZeroAccess en était responsable.

 

Si vous voyez une ligne comme

O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll

faites ce qui suit :

 

LSP-Fix

Téléchargez LSPfix

Sous Vista/Win7 etc..,

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

Décochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Vous ferez l'opération inverse par la suite.

 

Lancez l'application (Exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.

Cochez la case "I know what I'm doing" ("Je sais ce que je fais").

Sélectionnez toutes les instances de la dll néfaste( O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll)

 

et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

Cliquez sur le bouton "Finish".

Maintenant, redémarrez votre ordinateur en mode sans echec

Rechercher et détruire le fichier machinchose.dll lui-même.

 

LSPs et Windows XP

Si vous avez XP Home ou XP Pro, forcez Windows à détruire et reconstruire à neuf son protocole tcp/ip grâce à l'utilitaire NetShell qui s'utilise en ligne de commande (fenêtre de lignes de commande)

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Sous Vista:auparavant:

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

 

Modifié le 6 septembre 2013 par pear

[Oulh]

LSPFix ne veut pas se lancer justement parce que Winsock 2 n'existe pas !!???

Et je n'ai pas "Activer ou désactiver le contrôle des comptes d'utilisateurs" mais peut-être parce que je n'ai pas de contrôle activé !?

Modifié le 6 septembre 2013 par Oulh

[pear]

Ok.

 

Télécharger Farbar Service Scanner sur le bureau
Lancez-le en tant qu'administrateur
Cochez toutes les cases proposées

Cliquez sur Scan
Copiez/collez le contenu du rapport FSS.txt


Actuellement, l'outil est capable d'analyser les services suivants:

RpcSs
PlugPlay
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender


RpcSs et PlugPlay (Appel de procédure distante (RPC) et Plug-and-Play)
Ils seront analysés à chaque fois, à cause de leur importance et parce que de nombreux services dépendent d'eux.
Donc il n'est pas possible de désactiver cette analyse.
Internet Services (Services internet)
Tout service en relation avec internet, en fonction de l'OS, qui pourrait avoir quelque chose à faire avec la connexion à internet sera analysé.
Si le service n'est pas actif cela peut être dû à l'absence du service dans le Registre, à une modification du type de démarrage ("start type"), à une modification du Imagepath, ou bien à un fichier absent ou modifié ("patché").
Tout service non actif sera listé dans le rapport d'analyse.
L'outil détecte toute configuration modifiée, et vérifie les fichiers associés pour voir s'ils sont absents ou ont été modifiés ("patchés").
Vous n'avez pas besoin de vérifier le type de démarrage ("start type"), ni le "ImagePath", ni le chemin d'accès vers le ServiceDll.
Il y a de nombreux sujets dans lesquels l'outil indique que le type de démarrage ("start type") est OK, et l'assistant demande à l'utilisateur de vérifier si un certain service est en démarrage automatique.
Ce n'est vraiment pas nécessaire.
L'outil est précis et il peut détecter la modification si le type de démarrage n'est pas à la valeur par défaut..
Il y a une recherche de LEGACY_SERVICE au cas où un service n'est pas actif.
Windows Firewall (Pare-feu Windows)
Les services concernés ainsi que les fichiers sont vérifiés.
Si une stratégie de restriction logicielle (policy restriction) est utilisée, elle sera listée.
System Restore (Restauration système)
Les services concernés ainsi que les fichiers sont vérifiés.
Si une stratégie de restriction logicielle (policy restriction) est utilisée, elle sera listée.
Security Center (Centre de sécurité)
Les services concernés ainsi que les fichiers sont vérifiés.
Windows Update
Les services concernés ainsi que les fichiers sont vérifiés.
Windows Defender
Le service concerné ainsi que le fichier sont vérifiés.

Ainsi, si vous exécutez l'outil sur une machine en état de fonctionnement, les sections "Internet Services:" ou "Windows Firewall:" ou "System Restore:" seront vides.
Cela signifie simplement que les services sont actifs et qu'il n'y a pas de problème à signaler.