Pare feu, Antivirus, Internet désactivés

Résolu/Fermé
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011 - 20 juil. 2011 à 10:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 22 juil. 2011 à 15:52
Bonjour,

Gros problème à l'allumage de mon pc ce matin : le pare-feu et les antivirus sont désactivés, et je ne peux plus accéder à Internet... Pour ce qui est des antivirus et antimalware (Symantec Endpoint Protection, Malwarebytes, Spybot...), ils semblent avoir été déplacés et/ou désinstallés (l'icône indique un raccourci "mort") et quand je tente d'accéder aux exécutables, un message d'erreur m'indique que "Windows ne parvient pas accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément".

J'ai lancé un Hijackthis en mode sans échec, mais n'étant pas expert en informatique je ne sais pas quoi en faire... Voici le log obtenu :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:48:29, on 20/07/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Nouveau dossier (2)\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\PC\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\PC\Application Data\Dropbox\bin\Dropbox.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1268849997437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268849992046
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Client de gestion Symantec (SmcService) - Unknown owner - C:\program files\Symantec\Symantec Endpoint Protection\Smc.exe (file missing)
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\program files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Unknown owner - C:\program files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (file missing)
O24 - Desktop Component 0: (no name) - (no file)
A voir également:

40 réponses

LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 09:18
Bonjour,

Voici les nouvelles :

Comme le disais, Windows s'est réinitialisé (tous mes documents de la partition système ont été supprimés, mais les programmes installés semblent avoir été préservés).
Après de nouvelles tentatives, GMER et Kaspersky font toujours figer le système.
De plus, la restauration ne fonctionne pas...

Ma question est la suivante : est-ce que le formatage de la partition système et la réinstallation de windows supprimeront le rootkit ? Y a-t-il un risque que je le trimballe via l'autre partition ou via le deuxième disque dur de mon pc?

Je remets ici un log HijackThis, au cas où la situation ait évolué (le système est maintenant allégé)...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:22, on 21/07/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\PC.PC-LOIC\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: _uninst_.lnk = C:\Documents and Settings\PC.PC-LOIC\Local Settings\temp\_uninst_.bat
O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1268849997437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268849992046
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Client de gestion Symantec (SmcService) - Unknown owner - C:\program files\Symantec\Symantec Endpoint Protection\Smc.exe (file missing)
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\program files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Unknown owner - C:\program files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (file missing)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 09:31
arf tu n'as rien perdu, j'espère ?

Le formatage va le virer.
Maintenant, vu ce que tu dis, je pense qu'il y a eu une réinstallation de Windows...
C'est pas compliqué de savoir s'il est encore là, sur GMER, tu clics sur l'onglet Processus, si ça se ferme et si après tu peux plus lancer GMER, c'est qu'il est encore actif.
Ca doit aussi fermer Kaspersky Removal Tools.

Ca doit aussi donner des redirections sur les recherches Google.
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 09:46
Ben j'ai perdu quelques données, mais rien de très important. Heureusement, il ne s'agit pas de ma machine de travail. Mais j'ai quand même encore peur de perdre les données stockées dans la deuxième partition du disque dur, ce qui serait nettement plus embêtant....
Mais stratégiquement, je ne sais pas trop quoi faire, est-ce que je peux prendre le risque de brancher un DD externe ?

Pour ce qui est du rootkit, il est toujours là : GMER se fait killer en mode normal, freeze en mode sans échec, et je n'ai toujours pas d'accès à mes connexions réseau...
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 10:03
Nouvel épisode !! Décidemment je ne comprends pas grand chose... En désespoir de cause j'ai retenté un TDSS, qui est passé et qui a supprimé deux fichiers suspects...
Après reboot, mon PC se connecte enfin à Internet ! J'ai donc lancé un Combo fix, et celui-ci a pu installer la console de récupération. Le scan est en cours...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 10:27
Tu as retéléchargé TDSSKiller ?
ou c'est le meme que hier ?

Tu peux poster le rapport, doit y avoir le driver qui a été patché...
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 10:28
Résultat du premier scan : freeze, mais sans alerte de détection du rootkit...
Deuxième scan après reboot : détection du rootkit dès le début du scan...

Enfer et damnation ! Faux espoir cruel !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 10:31
Poste le rapport de suppression...
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
Modifié par LD1 le 21/07/2011 à 10:48
C'est le même TDSS qu'hier...
Malheureusement, dans la précipitation, je ne l'ai pas sauvé... Y a-t-il un log sauvé automatiquement et si ouui où peut-il se trouver ?

--> je trouve les logs TDSS à la racine de C: mais pas de log à la date d'aujourd'hui...

Sinon le deuxième scan combofix est quand même passé. Voici le log :


https://pjjoint.malekal.com/files.php?id=fd0b13de0bw14y15x8h15h8m10n11m6l15i7r10w11
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
Modifié par LD1 le 21/07/2011 à 10:52
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 11:17
OK y a les drivers patchés à priori sur le TDSSKiller.

Par contre faut pas faire delete.
Les drivers à la base sont légitimes, l'infection les modifie (on dit patché), TDSSKiller le détecte.... si tu supprimes, plus de drivers et tu perds les fonctionnalités pour lesquels ils sont là, donc ça peux aller à perte du réseau, usb ou Windows qui démarre plus.

Faut faire cure (réparer quoi).
Le delete faut le garder pour le driver du malware qui est de la forme 938329323.sys, celui qu'on a viré avec le CFScript.
Normalement l'infection est censée tout remettre à chaque fois, si on vire qu'une partie mais là TDSSKiller voit pas cette partie... donc difficile de savoir si ça été remis ou si c'est TDSSKiller qui voit pas.


~~

Au passage tu as un TDSSKiller 2.5.9.0 et aujourd'hui y a la 2.5.9.11.
Tu peux tenter de le retélécharger : https://support.kaspersky.com/5350
il va peut-être mieux gérer, mais tu fais bien cure sur ce qui est détecté et delete seulement sir y a un truc style 93832209.sys

sinon essaye ça :

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::
driver:: 
84838518 
9283666 
Rootkit:: 
C:\Windows\System32\drivers\84838518.sys 
C:\Windows\System32\drivers\9283666.sys
SRPeek::
C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
C:\WINDOWS\system32\drivers\tmrkb.sys
Quit::


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 12:07
Bon, pour l'instant Combo fix freeze... Je retente en mode sans échec.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 21/07/2011 à 12:13
Si pas mieux, faut passer par un CD Live .....

On pourra toujours tenter, ça va prendre du temps.
Faudrait voir combien de temps, tu as pour formater, tout réinstaller tes programmes etc. Si tu es pas en galère de driver ensuite...

Voir ce qui est le "plus rentable" pour toi.
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 12:19
Tu veux dire... booter sur le cd de windows ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 12:21
non un autre CD pour arriver sur un OS alternatif.

Mais bon essaye déjà Combofix en mode sans échec, des fois que...
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 12:26
Je crains que ça ne passe pas... Je suis bloqué sur l'AutoScan, curseur clignotant qui se fige si je tente quoi que ce soit... C'est normal que ça prenne autant de temps ou est-il empêché par le rootkit ?
Sinon, j'ai sous la main un Ubuntu 9.10, mais je m'y connais encore moins...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 13:31
Alors laisse tombé.

On peux essayer OTLPE pour voir...

* Télécharge OTLPEnet : http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau (Taille 120,9 Mo) - tu as des explications là : https://forum.malekal.com/viewtopic.php?t=23453&start=
* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d'etre créé.
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l'îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case "Automatically Load All Remaining Users" soit coché et clique sur ok.
* OTL doit se lancer maintenant

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
mrxsmb.sys
tmrkb.sys
iastorv.sys
i8042prt.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\@8000* /s
SAVEMBR:0
CREATERESTOREPOINT


* Presse Run Scan pour démarrer le scan.
* Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt
* Copies sur fichier sur une clé usb si tu n'as pas accès à Internet.
* Poste la contenu du rapport OTL.txt dans ton prochaine réponse.
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 14:22
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 21/07/2011 à 16:10
C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
C:\WINDOWS\system32\drivers\tmrkb.sys
ont l'air d'avoir sauté.

et pas de copie de tmrkb.sys sur C:\ à priori.

Copie C:\WINDOWS\system32\dllcache\mrxsmb.sy vers C:\WINDOWS\system32\drivers\mrxsmb.sys

Mais bon les clefs du service ont sauté :/

Tu es sûr qu'après TDSSKiller l'infection est encore active ?
Si tu lances GMER et que tu vas dans processus, GMER se ferme ?

Parce que là sur le rapport, y a plus de drivers 9xxxxxx.sys
et les hash des drivers qui sont affichés semblent corrects.

Symantec est dead ?

Tu peux supprimer le TDSSKiller que tu as et retenter avec celui-ci : https://support.kaspersky.com/5350 ?

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 16:34
Pour ce qui est du déplacement du fichier que tu m'indiques :

je ne trouve pas de dossier dllcache dans C:\WINDOWS\system32....
Par contre, je trouve le fichier mrxsmb dans C:\WINDOWS\Driver Cache\i386.... Est-ce normal ? Est-ce que je procède au déplacement vers C:\WINDOWS\system32\drivers ?

Pour ce qui est du fait que l'infection soit active, et bien j'en étais sûr jusque là... Mais je viens de lancer GMER et il n'a pas crashé quand j'ai sélectionné l'onglet Processus (j'étais sûr d'avoir vérifié après le TDSS...)

Pour Symantec, je ne l'ai pas désinstallé, mais j'ai vu qu'il avait souffert dans les logs (fichiers manquants...). Tant pis je le désinstallerai.

Enfin, j'ai lancé ce nouveau TDSS et voici le log :

https://pjjoint.malekal.com/files.php?id=6a0c4608c2u13o10n13s14b11x7w9l11x7i6u6e6
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
21 juil. 2011 à 18:21
Ok, après quelques vérifications, il semble en effet que l'infection ait été désactivée...

J'ai pu réinstaller un antivirus (Avira) et un antimalware (MBAM), et leurs scans n'ont pas planté. Plus de traces du rootkit également lors du lancement de ComboFix ou de TDSS...
Il me reste juste à virer les exe cassés des GMER qui sont restés là, et qui résistent à toute manipulation (accès refusé). Si tu as une suggestion pour ça, ou une manip à m'indiquer...

Je te remercie encore grandement pour tout le temps et la patience que tu m'as consacrés encore aujourd'hui. Tu es un vrai chef !! Bonne continuation !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juil. 2011 à 21:55
Il me reste juste à virer les exe cassés des GMER qui sont restés là, et qui résistent à toute manipulation (accès refusé).

Le malware a cassé les ACL (permissions), tente un clic droit / propriétés puis onglet sécurité.
Tu dois avoir le nom de ta session en haut.
Tu sélectionnes.
Tu clics sur refuser au niveau des modifications.
Appliquer
et après tu mets contrôle totale sur autorisé
Aplliquer encore.

Vois si ça permet de rendre l'executable opérationnel.
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
22 juil. 2011 à 08:30
Bonjour,

Quand je fais clic droit sur l'exe, je n'obtiens pas d'onglet sécurité... J'ai fouillé les onglets et les commandes avancées mais rien n'y fait.... Je n'essaie peut-être pas au bon endroit (je suis sur mon bureau, directement sur l'exe cassée...
0
LD1 Messages postés 56 Date d'inscription jeudi 2 juin 2011 Statut Membre Dernière intervention 1 septembre 2011
22 juil. 2011 à 12:58
C'est bon, j'ai réussi. Je suis sous XP édition familiale, et du coup l'onglet Sécurité n'apparaît pas par défaut. J'ai réussi à modifier ça et donc à reprendre le contrôle des fichiers qui avaient été modifiés par le rootkit.

C'est après ce long périple que je vais marquer cette discussion comme résolue, en te remerciant une dernière fois pour tout ce que tu as fait !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 juil. 2011 à 15:52
ha y es tu es en XP Home :)

C'est cool !


Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
0