Probleme Trojan Torpig! : rootkit PE386

[MyThiK]

Salut tout le monde,

Voila alors j'ai un gros probleme sur mon PC. J'ai attraper se vers sur le net et depuis mon PC à vraiment du mal.
Je peut plus acceder à msn, quand je me connecte un message s'affiche avec une erreur. Et puis mon internet n'arrive plus à s'installer, mes USB fonctionne mal... La grosse galere quoi !
Voila, j'ai lu vos post-it avant de poster se message et j'ai suivi tout se qui etait demander.

Rapport d'analyse avec Panda:

[APC]

Bonjour & bienvenue,

Il y a du monde

Premières remarques :

Je ne vois pas d'antivirus sur ton log !

Il va falloir en installer un et d'urgence : Installe la version d'évaluation de KAV si toutefois tu as accès à la page de téléchargement.

Une fois installée, réalise une analyse complète du système et conserve le rapport pour le poster sur ta prochaine réponse.

Est-ce toi qui as installé WinPcap et en as-tu l'utilité ? A désinstaller si ce n'est pas toi.



Ensuite suis cette procédure :

• Télécharge, installe & nettoie ton pc avec CCleaner
  
  
• Fais un clic droit sur le fichier HijackThis.exe et renomme-le en scanner.exe cela nous permettra de voir s'il n'y a pas un Vundo caché.
  
  
• Génére un nouveau log HijackThis (scanner) et poste moi le rapport.
  
  
• Télécharge Clean.zip de Malekal_morte sur ton Bureau,
  
  
  • Décompresse-le sur ton bureau (clic droit / Extraire tout), tu dois obtenir un dossier Clean,
    
    
  • Ouvre le dossier Clean, double-clique sur clean.cmd,
    
    
  • Choisis l'option 1 puis patiente,
    
    
  • Poste ensuite le contenu du rapport.

Il y a un sacré ménage à faire, on verra ça plus en détail une fois que j'aurais tous ces rapports.

@+

[MyThiK]

Voila les scan sont fini .

Rapport d'analyse de Clean.cmd :

[APC]

[MyThiK]

Voila le rapport de Hijackthis:

[APC]

Tu t'es trompé pour HijackThis, je t'ai demandé de le renommer en Scanner.exe

[MyThiK]

Mais je vois pas trop se que tu veut dire par rennomer le " Hijackthis " par " Scanner.exe ". Je ne sais pas qe qu'il faut renommé exactement...

[APC]

Tu te rends à D:\Hijackthis\HijackThis.exe, fais un clic droit sur HijackThis.exe et choisis renommer dans le menu contextuel et là tu tapes scanner.exe .

Ensuite tu double-cliques sur scanner.exe (en réalité HijackThis) pour générer un nouveau log (do a system scan and save a log file).

C'est pour mieux tromper l'ennemi.

[MyThiK]

C'est bon cette fois ci ?

[APC]

Ok, reste le rapport de KAV.

Je dois m'absenter un moment, mais je te dis quoi dans la soirée.

@+

[APC]

Re,

En attendant que tu postes ton rapport de KAV,

Lis attentivement la procédure et sauvegarde-la sur ton Bureau : (dans ton navigateur, fais Fichier / Enregistrer sous) pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec.

Imprime également les pages des liens explicatifs sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre, la procédure doit être effectuée intégralement.

N'hésite pas à poser des questions avant de commencer si tu ne comprends pas quelque chose.

1. Tu n'as pas renommé HijackThis correctement :
   
   
   Citation:

   D:\Hijackthis\scanner.exe.exe
   
   
   Renomme-le en scanner, toi tu as .exe.exe., sans doute parceque tu ne vois pas les extensions de fichiers.
   
   
   
2. Tu n'as que le pare-feu de XP, et ça m'étonnerais que tu sois derrière un routeur, tu dois en installer un pour combler les failles de sécurité et éviter que de nouveaux nuisibles s'introduisent. Je te conseille Jettico --> Téléchargement & tutoriel chez Malekal_morte.
   N'oublie pas de désactiver celui de XP avant d'installer Jettico.
   
   
   
3. Crée un nouveau dossier à la racine de ta partition système, c'est à dire sous C:\, que tu nommeras BFU.
   
   Pour cela :
   
   • Ouvre le Poste de Travail
     
   • Double-clicque sur le disque C
     
   • Fais Fichier / Nouveau / Dossier
     
   • Tape BFU dans le nom du nouveau dossier
   
   
4. Télécharge Brut Force Uninstaller de Merijn et décompresse-le dans le dossier BFU que tu viens de créer.
   
   
   
5. Fais un clic droit sur ce lien et choisis "Enregistrer la cible du lien sous" dans le menu contextuel afin de pouvoir télécharger alcanshorty.bfu de Metallica et sauvegarde-le dans le dossier BFU
   
   
   
6. Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.
   
   
   
7. Redémarre en mode sans échec
   
   
   
8. Ouvre le dossier BFU et double clique sur BFU.exe pour le lancer,
   
   
   
   • Clique sur le dossier jaune, à droite de Scriptline to execute, l'arborescence va s'ouvrir, sélectionne alcahshorty.bfu, puis coche la case "Show file after script ends"
     
     
     
   • Clique sur Execute et laisse le scan s'accomplir jusqu'à ce que le message Complete script execution apparaisse.
     
     
     Tu dois avoir ce qu'il y a sur l'image avant de cliquer sur Execute :
     
     
     clique sur l'image pour l'agrandir
     
     
     
   • Le bloc notes va s'ouvrir avec le contenu du rapport, sauvegarde-le sur ton bureau pour le retrouver facilement.
     
     
     
   • Ferme le programme BFU en cliquant sur Exit.
   
   
   
   
9. Double-clique sur le fichier clean.cmd (dans le dossier clean) pour le lancer, et sélectionne l'option 2.
   (J'ai oublié de te dire le lancer l'option 2 en mode sans échec tout à l'heure )
   
   
   
10. Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script :
    
    
    • Appuie sur Y pour commencer le processus de nettoyage,
      
      
      
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
      
      
      
    • Appuie sur une touche pour redémarrer le PC.
      
      Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
      
      
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
      
      
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    
    
    
11. Poste-moi le rapport de BFU, ainsi que celui de Clean, et celui de SDFix (report.txt),
    
    
12. Nouveau log HijackThis.

N'oublie pas le rapport de KAV.

Si tu as des logiciels de P2P tels que LimeWire, Kazaa, etc, je te conseille vivement de les désinstaller durant la désinfection.

Bon courage
@+

[MyThiK]

Bonjour,

Désolé de m'etre absenter, mais je suis partit reveillonner plus tot que prevu. Pour commencer, Bonne Année 2007. Je souhaite que du bonheur à tout les forummeurs .

Alors voila j'ai telecharger tout les logiciels que tu m'as indiquer dans la liste, j'ai renommé correctement Hijackthis (Cette fois-ci, c'est la bonne), j'ai crée le dossier dans la partition C: .

J'en suis à l'etape ou il faut redemarrer mon ordi en mode sans echec, mais la bug, je ne sais plus comment on fait pour redemarrer l'ordi dans se mode . Je sais qu'il y a une commance spéciale, mais je ne me rappelle plus laquelle.

Voila si tu pouvais me l'indiquer afin que je puisse continuer le massacre pour venir a bout des ces foutus vers .
Merci d'avance

[APC]

Bonsoir & bonne année

[MyThiK]

Voila les 4 rapports et le nouveau log de Hijackthis que tu m'as demander .

Rapport de KAV:

• Rapport KAV de la partition C:
• Rapport KAV de la partition D:

Rapport de BFU:

[APC]

Re,

Bonne idée l'upload du rapport sur un ftp.

On continue :

1. Désinstalle toutes les versions de Java que tu vas trouver dans Ajout / Suppression de Programmes sous le nom J2SE Runtime Environment.
   
   
2. Donne toi accès aux fichiers cachés et supprime ces dossiers :
   
   
   • C:\Documents and Settings\Administrateur.TOUNKI.000\Application Data\Sun
     
   • C:\Documents and Settings\Administrateur.TOUNKI.000\Local Settings\Application Data\Sun
     
   
   
   Si tu as d'autres comptes que Administrateur.TOUNKI.000 sur ton pc, recherche et supprime le dossier Sun pour chacun d'entre eux.
   
   
3. Vide la corbeille, fais un nouveau nettoyage avec CCleaner
   
   
4. Télécharge DiagHelp de Malekal_morte, et extrais le contenu de l'archive sur ton bureau,
   
   
   • Ouvre le dossier DiagHelp, à l'intérieur tu vas voir plusieurs fichiers, celui qui nous intéresse s'appelle Go.cmd (ou Go c'est selon).
     
     
   • Double clique dessus pour l'exécuter, une fenêtre va s'ouvrir : choisis l'option 1
     
     
   • Le scan qui va s'effectuer peut durer plusieurs minutes, à la fin de l'analyse, ton pc doit redémarrer tout seul, si ce n'est pas le cas, reboote-le toi même,
     
     
   • Au redémarrage, tu dois avoir un message t'indiquant qu'un script va s'exécuter : accepte.
     
     
   • Puis, de nouveau la fenêtre de DiagHelp qui s'ouvre : Il faut appuyer sur une touche à ce moment et tu dois voir apparaître le bloc notes avec le rapport : sauvegarde-le sur ton Bureau.
     
     
   • Poste le contenu de ce rapport sur ta prochaine réponse.
   
   
   
5. Installe la dernière version de Java à partir de ce lien.

Je ne vois pas de trace de Jetico sur ton log HJT, ni d'un autre firewall... Tu n'en as pas installé comme je te l'ai demandé ?

@+