Infection Virus Generic.Backdoor.12.AEGG ? - Virus/Spywares - Windows & Software
Marsh Posté le 10-02-2010 à 12:55:40
Bonjour
1) Il y a plusieurs barres d'outils néfastes sur ton ordinateur (Ask Toolbar, SearchSettings)... Pour éviter ce genre d'infection, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
● Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Clique sur AD-R.exe pour le lancer
● Au menu principal choisis l'option "L" (lancer le nettoyage)
● Poste le rapport qui apparait à la fin (en l'hébergeant, comme tu l'as fait pour ceux de RSIT)
Aide en images : Nettoyage
2) Ensuite fais ce scan généraliste stp :
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Marsh Posté le 10-02-2010 à 14:23:12
Tout d'abord, merci infiniment pour ton aide.
Voici les deux rapports :
ADR : http://www.cijoint.fr/cjlink.php?f [...] Mp02fw.txt
Anti-Malware : http://www.cijoint.fr/cjlink.php?f [...] AsD5nW.txt
D'après ce dernier, j'ai 17 infections. [edit : je précise que ces 17 infections ont été placées en quarantaine et supprimées, d'après le rapport].
Que dois-je faire ensuite ?
Marsh Posté le 11-02-2010 à 01:03:39
Ok, on continue
/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Marsh Posté le 11-02-2010 à 10:14:45
Problème : cela fait plus de 20 mn que Combofix tourne, sans aucun résultat. Il m'a demandé d'installer la console de récupération, il l'a téléchargée, et là il est apparemment bloqué (pas d'activité disque dur ou très peu). Je n'ai accès à rien par ailleurs sur l'interface Windows (qui n'apparaît pas), et il m'interdit de redémarrer, car je l'ai autorisé à le faire lui-même. Je précise que j'ai bien désactivé les logiciels de protection.
Que fais-je si ça continue comme ça ?
Marsh Posté le 11-02-2010 à 10:27:41
OK, mais alors je force mon ordinateur à s'éteindre ? (je n'ai plus accès à aucune commande sur écran)
Marsh Posté le 11-02-2010 à 10:56:02
Bon finalement, j'ai réussi à faire repartir ComboFix, qui a l'air de s'être correctement déroulé.
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] bLF2LR.txt
Mustrum1975 a écrit : OK, mais alors je force mon ordinateur à s'éteindre ? (je n'ai plus accès à aucune commande sur écran) |
Marsh Posté le 11-02-2010 à 12:54:23
Hum, c'est mauvais signe : "detected MBR rootkit hooks"
On va utiliser Gmer pour vérifier quelque chose :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Poste le rapport (hébergé) dans ta prochaine réponse stp
Ensuite :
• Rends toi sur ce site
• Clique sur Parcourir, navigue jusqu'à ce fichier et lance l'analyse : c:\windows\system32\biolsp.dll
• Si VirusTotal te dit que le fichier a déjà été analysé, demande une nouvelle analyse stp
Marsh Posté le 11-02-2010 à 15:47:25
Voici le rapport GMer : http://www.cijoint.fr/cjlink.php?f [...] hTkXQg.txt
Marsh Posté le 11-02-2010 à 15:53:14
Et voici le rapport du site Virus Total : http://www.cijoint.fr/cjlink.php?f [...] vNniM6.pdf
Mustrum1975 a écrit : Voici le rapport GMer : http://www.cijoint.fr/cjlink.php?f [...] hTkXQg.txt |
Marsh Posté le 11-02-2010 à 16:28:56
Ok
Je vais devoir te demander une autre analyse VirusTotal : C:\Windows\system32\DRIVERS\rdpdr.sys
Marsh Posté le 11-02-2010 à 16:36:27
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] n95aqo.pdf
Marsh Posté le 11-02-2010 à 22:03:20
Mets à jour ton antivirus et fais une nouvelle analyse de ton ordinateur
Dis moi s'il détecte quelque chose (localisation et nom du fichier). S'il y a la possibilité d'envoyer un rapport à la fin de l'analyse, fais le aussi stp (en l'hébergeant, comme d'habitude)
Marsh Posté le 11-02-2010 à 23:01:54
Bonsoir,
Je viens d'achever une analyse complète après MAJ, par AVG Free 9.
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] LXvjhl.txt
Il indique une infection par un spyware type : Adware.generic.EDD, il a procédé à une mise en quarantaine.
Il n'a pas relevé d'autres virus.
Je suis sorti d'affaire ?
Marsh Posté le 12-02-2010 à 09:10:41
Pour désinfecter tes disques amovibles :
• Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le programme USBFix sur ton Bureau
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp
Aide en images : Nettoyage
Marsh Posté le 12-02-2010 à 09:41:31
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] X8o46i.txt
Je précise que j'ai eu un problème au reboot, car ma clef USB empêche le chargement du premier écran (avant Windows), problème qui existe depuis l'origine (il s'agit d'une clef Sandisk microcruzer U3, l'interface U3 étant désactivée). Je l'ai donc déconnectée puis reconnectée, apparemment tout s'est bien déroulé.
[EDIT] Apparemment, j'ai toujours un problème : AVG vient de m'indiquer la mise en quarantaine du virus Generic.Backdoor Trucmuche (situé dans System Volume Information), cela est arrivé après environ 30 mn de mise en veille (cela est déjà arrivé avant que je te contacte). Curieux puisqu'au scan, hier, il n'a rien détecté...
[EDIT2] Je viens de refaire un scan par AVG. C'est reparti, 1 spyware et surtout 27 infections, dont le fameux rpdr.sys Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] Iz868a.txt
Je n'y comprends plus rien...
Marsh Posté le 13-02-2010 à 01:47:23
Pour USBFix c'est bon (à part que le lecteur G n'a pas été vacciné, mais il n'est pas infecté donc ce n'est pas grave)
System Volume Information\_restore correspond aux points de sauvegarde de la restauration du système, ça ne correspond pas à des éléments actifs, et c'est normal --> on la purgera à la fin
S'il n'est pas trop gros, peux-tu m'envoyer ce fichier stp : C:\WINDOWS\system32\drivers\rdpdr.sys
Pour ça, fais un clic-droit dessus --> envoyer vers --> Dossier compressé
Puis envoie moi le nouveau dossier rdpdr.zip via cijoint stp
Marsh Posté le 13-02-2010 à 08:59:21
Voici le fichier rdpdr.sys : http://www.cijoint.fr/cjlink.php?f [...] y6XkUE.zip
Et, de nouveau, merci de me consacrer de ton temps pour m'aider !
Marsh Posté le 13-02-2010 à 23:09:57
Je n'ai pas trouvé d'éléments néfastes dans ce fichier... Mais si c'est le rootkit TDL (comme le laisse penser le message "detected MBR rootkit hooks" indiqué par Combofix), c'est normal qu'on ne trouve rien car l'infection est capable de "se cacher"...
Par précaution, on va procéder au remplacement de ce fichier par une copie saine. Pour ça :
• Télécharge SEAF (de C_XX)
• Dans les options, règle "Calculer le checksum" sur "MD5", puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
• Tape rdpdr.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
• A la fin, poste le rapport dans ta prochaine réponse
Marsh Posté le 14-02-2010 à 00:33:41
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] g6QHTy.txt
Marsh Posté le 14-02-2010 à 15:50:54
Hum... On va essayer comme ça, en espérant que ça fonctionnera :
• Télécharge WinFileReplace (de Loup Blanc)
• Lance le, choisis la langue puis laisse toi guider
• Le bloc-note va s'ouvrir et te demander le fichier a restaurer, tape ceci :
C:\WINDOWS\system32\drivers\rdpdr.sys
• Ferme le bloc-notes et enregistre les modifications
• Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
• Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
• L'ordinateur va redémarrer, laisse le faire.
• Au redémarrage, un rapport va apparaître : envoie le moi ici stp.
Marsh Posté le 14-02-2010 à 16:22:16
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] d7870r.txt
Marsh Posté le 15-02-2010 à 00:20:20
Apparemment le remplacement du fichier a réussi
Ton antivirus détecte-t-il toujours une infection sur ce fichier ?
Marsh Posté le 15-02-2010 à 20:53:13
A priori pas d'infection sur rdpdr.sys (j'ai fait une analyse ciblée sur Windows/system32/drivers mais l'antivirus m'indique toujours des infections dans le volume restore (mais tu m'a dis que c'était normal ;-)).
Marsh Posté le 15-02-2010 à 22:25:32
Re-belote.
J'ai de nouveau procédé à une analyse complète AVG, voilà ce que ça me donne : http://www.cijoint.fr/cjlink.php?f [...] 4cH0WQ.txt
Cela, deux minutes après l'analyse ciblée qui ne donne rien, et revoilà une infection de rdpdr.sys
C'est difficile à comprendre, j'ai l'impression d'avoir réinfecté le fichier par l'intermédiaire de l'analyse antivirus...
J'y perds mon latin, perso...
Mustrum1975 a écrit : A priori pas d'infection sur rdpdr.sys (j'ai fait une analyse ciblée sur Windows/system32/drivers mais l'antivirus m'indique toujours des infections dans le volume restore (mais tu m'a dis que c'était normal ;-)). |
Marsh Posté le 16-02-2010 à 00:38:59
Mustrum1975 a écrit : J'y perds mon latin, perso... |
Moi aussi
Réessaye un scan Gmer pour voir stp, mais cette fois coche toutes les cases (sur le côté droit) avant de cliquer sur "Scan"
Marsh Posté le 16-02-2010 à 07:29:14
Je te tiens au courant ce soir, je n'aurai pas le temps de procéder au scan avant.
A+, merci encore pour ton aide
Marsh Posté le 16-02-2010 à 07:35:58
Je viens de refaire un scan, ciblé comme la dernière fois, le virus a, de nouveau, disparu.
Or, hier, après mon scan complet, j'avais fait un scan ciblé qui avait confirmé l'infection.
Du coup, je me dis que le problème vient, peut-être, de l'antivirus, aurais-tu un autre antivirus comparable à me conseiller, pour faire une double vérification ?
quoiqu'il en soit, je t'envoie le rapport GMer ce soir
Mustrum1975 a écrit : Je te tiens au courant ce soir, je n'aurai pas le temps de procéder au scan avant. |
Marsh Posté le 17-02-2010 à 00:59:24
Voici le rapport Gmer : http://www.cijoint.fr/cjlink.php?f [...] EVfQ39.txt
Mustrum1975 a écrit : Je viens de refaire un scan, ciblé comme la dernière fois, le virus a, de nouveau, disparu. |
Marsh Posté le 17-02-2010 à 02:25:52
Je n'ai pas d'explications à te donner En dernier recours :
- Tu peux utiliser un scan avec un LiveCD antivirus (DrWeb et AntiVir) en suivant ce tutoriel. Si tu essaye ça, fais d'abord une sauvegarde de tes documents, au cas où tu n'aies plus accès à Windows après le scan (on ne sait jamais...)
- Sinon, tu peux aussi essayer de contacter l'éditeur de ton antivirus pour voir s'il ne s'agit pas d'un faux positif...
Marsh Posté le 17-02-2010 à 09:32:58
Le scan Gmer est propre ?
Marsh Posté le 17-02-2010 à 16:20:40
Bon, j'ai refait l'analyse AVG, qui détecte des infections (seulement en analyse complète), et juste après, j'ai fait une analyse Virus Total (puisque j'ai l'impression que l'infection se "révèle" avec l'analyse complète AVG), qui, cette fois-ci découvre des infections.
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] EacSZE.pdf
Est-ce que ça peut aider ?
Marsh Posté le 17-02-2010 à 17:27:58
Je vais essayer de récupérer une copie saine de ce fichier, et on essayera à nouveau de le remplacer
Je te recontacte dès que je l'ai (je pars en vacances demain donc je serai un peu moins présent, mais je ne te laisse pas tomber )
Marsh Posté le 17-02-2010 à 17:30:13
C'est vraiment sympa. Et déjà : bonnes vacances.
Pour ce que ça vaut, mon domaine à moi, c'est le droit (je suis universitaire et avocat) : si jamais tu as un problème, n'hésite pas (il y a aussi des sacrés "virus" dans le monde du droit) ;-)
Marsh Posté le 17-02-2010 à 19:14:17
Merci
Peux-tu vérifier si ce fichier est présent sur ton ordinateur stp : C:\FR-files\rdpdr.sys
Marsh Posté le 17-02-2010 à 19:40:53
Il est présent sur l'ordi.
Marsh Posté le 17-02-2010 à 21:11:14
• Clique sur Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Décoche "Masquer les extensions de fichiers connus" et valide.
Renomme le fichier C:\FR-files\rdpdr.sys en Mustrum.bak (ne laisse pas l'extension .sys)
/!\ ATTENTION /!\
Le programme qui suit est très puissant, il peut endommager l'ordinateur s'il est mal utilisé !
Le script proposé ici a été écrit spécialement pour Mustrum1975, il n'est pas transposable sur un autre ordinateur !
/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\
• Télécharge The Avenger (de Swandog46) sur le Bureau
• Fais un clic-droit sur le dossier Avenger.zip → Extraire tout → Choisis le Bureau comme destination
• Ouvre le nouveau dossier Avenger qui est apparu sur ton Bureau → Lance le fichier avenger.exe qu'il contient.
• Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.
• Clique sur ce lien
• Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
• Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
• A la fin, il te demandera de redémarrer ("reboot" ), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
• Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.
Marsh Posté le 17-02-2010 à 21:46:10
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] whADlf.txt
A priori, tout s'est bien passé, mais bon...;-)
Marsh Posté le 10-02-2010 à 09:24:09
Bonjour à tous,
Je suis apparemment infecté, selon mon antivirus (AVG Free) par un cheval de troie, qui s'est attaqué au fichier rdpdr.sys (dans System32/drivers). Je suis sous Windows XP SP3.
Mon antivirus ne peut rien faire, il se contente de noter la présence du virus.
Voila les liens des deux rapports générés par RSIT, hébergés par ci-joint :
http://www.cijoint.fr/cjlink.php?f [...] zLoGBO.txt
http://www.cijoint.fr/cjlink.php?f [...] 78F6f7.txt
Quelqu'un pourrait-il m'aider ?
Un grand merci d'avance !
Message édité par Mustrum1975 le 10-02-2010 à 09:59:02