PC infecté?

[invitea2266c20]

Bonjour à tous,
Voici mon problème:
En rentrant du travail (mercredi 10/02/10), j'ai introduit une clé USB dans mon pc qui a déclenché l'antivirus (Antivir) refusant l'accès à cette clé, que j'ai aussitôt retirée.
Impossible alors de redémarrer la machine, même en mode sans échec !
J'ai du utiliser une vieille image "Paragon" qui m'a permis de sortir de la situation.
Des analysées ont révélé diverses infections:

-a-squared Web Malware Scanner v. 4.0
Scan settings:
Objects: Memory, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan start: 10/02/2010 23:02:29

C:\WINDOWS\system32\Process.ex e detected: Riskware.Win32.PrcView!A2


-Avira AntiVir Premium
Date de création du fichier de rapport : jeudi 11 février 2010 19:38-Recherche débutant dans 'C:\WINDOWS\system32\sshnas21. dll'
C:\WINDOWS\system32\sshnas21.d ll
--> Object
[RESULTAT] Contient le cheval de Troie TR/Agent.dheq

-Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3727

12/02/2010 00:27:36
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\F5J MWNZTHI (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\Curr entControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROU A3O12PW (Trojan.FakeAlert) -> No action taken.

- Panda (analyse en ligne)
ANALYSIS: 2010-02-12 23:05:45
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 9

MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\documents and settings\compaq_propriétaire\c ookies\compaq_propriétaire@xit i[1].txt
00484705 Application/IEDefender HackTools No 0 Yes No c:\windows\system32\iedfix.c.e xe
00921467 Generic Malware Virus/Trojan No 0 Yes No c:\windows\system32\404fix.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No c:\windows\downloaded installations\{ca96caaa-f816-4cb5-9676-6a3fccb81468}\spycheck antispyware.msi[unk_0058][spycheck.exe]


J'aimerais savoir si ma machine est à peu près saine ou le cas échéant, compléter la désinfection.
Pardon pour la présentation. Je ferais mieux la prochaine fois.
Bonne soirée à tous et merci infiniment.
-----

[yoda1234]

Bonjour,


Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[invitea2266c20]

Bonsoir yoda1234
Pardon pour la réponse tardive.
J'ai passé ATF-Cleaner et voici les rapports RSIT:
J'espère que je n'ai pas fait de bêtises.

[invitec04351b8]

Bonjour,

tu as utilisé Combofix (et il mal été désinstallé).

Tu es aidé sur un autre forum ?

@+

[A voir en vidéo sur Futura]

[invitea2266c20]

Bonjour Lyonnais92
Oui, j'ai utilisé Combofix en utilisant "notre ami" Google.
Ai-je fait une bêtise?
Merci pour ton intervention.

[invitec04351b8]

Re,

c'est le genre d'outil qu'il vaut mieux ne pas utiliser en libre service.

As tu encore le rapport C:\Combofix.txt ?

Si tu ne le trouves pas, regarde dans C:\Qoobox si tu as combofix1.tx.

Poste celui que tu trouves.

@+

[invitea2266c20]

Re Lyonnais92
Oui, j'avais gardé le rapport Combofix.txt (enregistré sur le bureau).
Dans C:\Qoobox , j'ai ceci:
http://img714.imageshack.us/img714/2244/qoobox.png
Ci-joint les fichiers .txt de combofix.
Merci infiniment de te pencher sur mon cas.

[invitec04351b8]

Re,

avec l'Explorateur Windows cherche et supprime :

c:\windows\system32\edacded0_x .dat

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[invitea2266c20]

Bonsoir Lyonnais92
1) Le fichier C:\Windows\system32\edacded0_x .dat

n'a pas été trouvé (même en recherche "manuelle")
2) En attendant un nouveau rapport MBAM, je t'en joins un (établi en MSE du 13/02/2010 15:35:01).

Bonne soirée et encore MERCI.

PS: Quand j'essaie d'ouvrir un de mes attachés, je me retrouve avec ce message:

[invitec04351b8]

Bonjour,

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  Rootkit::
  C:\Windows\system32\edacded0_x .dat
  
  
• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

===

Relance un scan rapide de MBAM, après mise à jour, en mode normal.

Poste le nouveau rapport.

@+

[invitea2266c20]

Bonjour Lyonnais92
Voici les rapports demandés.
Bonne lecture et MERCI.

[invitea2266c20]

Bonjour Lyonnais92
Voici les rapports demandés.
Bonne lecture et MERCI.
Pardon, les vioci (enfin, j'espère):

[yoda1234]

PS: Quand j'essaie d'ouvrir un de mes attachés, je me retrouve avec ce message:

Bonjour,

c'est normal dans un souci de confidentialité, seuls les modérateurs et les membres du groupe anti-malware ont le droit d'ouvrir les pièces jointes de ce forum.

[invitec04351b8]

Re,

tu peux me copier le contenu de c:\documents and settings\Compaq_Propriétaire\B ureau\CFscript.txt

@+

[invitea2266c20]

Bonjour,

c'est normal dans un souci de confidentialité, seuls les modérateurs et les membres du groupe anti-malware ont le droit d'ouvrir les pièces jointes de ce forum.

Merci. cela me rassure, et je commence à comprendre.
Cela évite de faire des strip-tease gratuits, comme sur d'autres forums.

[invitea2266c20]

Bonsoir Lyonnais92
"tu peux me copier le contenu de c:\documents and settings\Compaq_Propriétaire\B ureau\CFscript.txt "
Hélas! Non, il a disparu quand je lai glissé dans ComboFix.exe.!!!
La recherche Windows n'a rien donné.
Et j'allais t'en parler justement.
Est-il normal que je n'aie pas la même icône Combofix?
Vois, plutôt:

[invitec04351b8]

Bonjour,

c'est normal, si tu as l'icône de gauche.

# Déconnecte toi d'internet et ferme toutes tes applications.
# Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
# Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les deux lignes suivantes :


Files::
C:\Windows\system32\edacded0_x .dat


Enregistre ce fichier sous le nom CFscript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt[/list]
@+

[invitea2266c20]

Bonjour Lyonnais92
J'ai refait l'examen Combofix avec ces les deux lignes:

Rootkit::
C:\Windows\system32\edacded0_x .dat


Files::
C:\Windows\system32\edacded0_x .dat

Et voici les deux rapports.
Merci encore une fois pour le temps et l'attention que tu m'accordes.

[invitec04351b8]

Re,

ce fichier s'accroche.

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://swandog46.geekstogo.com/avenger2/download.php

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
c:\windows\system32\edacded0_x .dat

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

@+

[invitea2266c20]

Bonjour Lyonnais92
Reçu 5/5 et voici le rapport Avenger.
MERCI et une douce nuit.
@+

[invitec04351b8]

Bonjour,

un blanc s'est introduit sans que je sache comment.

Recommence avec

Code:

Begin copying here:

Files to delete:
c:\windows\system32\edacded0_x.dat

Vérifie bien qu'il n'y a pas de blanc entre edacded0_x et .dat (ni nulle part dans le nom du fichier.

@+

[invitea2266c20]

Bonjour Lyonnais92
J'ai fait exécuté ce que tu me recommandes:
"Vérifie bien qu'il n'y a pas de blanc entre edacded0_x et .dat (ni nulle part dans le nom du fichier".
Au redémarrage, j'ai une erreur. j'ai quand même du cliquer deux fois sur "continuer" pour que ce message disparaisse.
Bon appétit et bonne journée ensoleillée.

[invitea2266c20]

Re
Oups! Pardon, j'avais oublié le dernier d de "edacded0_x.dat"
Je reprends l'analyse mais j'ai toujours le même message au redémarrage.

[invitec04351b8]

Re,

on a fini par l'avoir.

As tu encore des soucis ?

@+

[invitea2266c20]

Bonsoir Lyonnais92

"on a fini par l'avoir."
Et c'était quoi donc? Un virus? Un malware? Juste pour essayer de comprendre ce qui peut l'être.

" As tu encore des soucis ?"
Je ne sais pas; mais le pc tourne assez bien.
Je finis par te réitérer mes remerciements et ma sincère reconnaissance.
Y'a-t-il des fichiers à nettoyer? Combofix, RSIT, Avenjer....

[invitec04351b8]

Bonsoir,

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.


hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

@+

[invitea2266c20]

Re Lyonnais92

Voici avec un peu de retard et mes excuses (devoir familiale), le rapport TCleaner.
Bonne réception.

[invitec04351b8]

Bonjour,

pas de souci pour le délai.

Par contre, je ne vois pas de suppression.

Tu as suivi exactement la procédure ?

@+

[invitea2266c20]

Bonjour Lyonnais92

"Par contre, je ne vois pas de suppression."
Effectivement, j'avais oublié la suppression.
Où avais-je la tête?
J'abuse de ta patience et gentillesse. Pardonne-moi.
Très bonne nuit.
MERCI infiniment. Je ne trouve pas d'autres mots.

[invitec04351b8]

Bonjour,

on en termine :

supprime ToolsCleaner sur ton Bureau et C:\Tcleaner.txt.

===

Quelques conseils (merci à B.Marlow)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

===

Si tu as encore des soucis ou des questions, tu n'hésites pas.

@+