{résolu] réseau bloqué + cd/dvd +com1

[bullmicral30]

Bonjour,
je me permets de vous solliciter afin d'obtenir le moyen de me débarasser d'une "trés sale bête".
Il y a quelque jour en naviguant j'ai recu une alerte de mon antivirus "Macafee" qui à subitement reçu une "rafale" d'attaques.
Environ une dizaine d'objets nocifs ont été détectés et supprimés ou mis en quarantaine.
A la suite de cet incident mon micro est devenu trés lent et à fini par se bloquer.
J'ai donc du le redemarrer .... et là catastrophe :
-plus d'acces souris
-plus d'acces clavier
-plus de réseau
-plus de lecteur DVD/CD reconnu
-port com1 bloqué.
-extreme lenteur
En suivant les conseils fournis sur le forum ,
j'ai réussi à retrouver un semblant de fonctionnement (souris / clavier) ,mais l'essentiel du probleme persiste.

J'ai suivi vos indications présentes dans le sujet :Toolkit.zero.access

Le site "virustotal.com" m'indique que mon fichier (Physical0MBR.bin) est sain:
>>
SHA256: 71d756e6fe4c2a8e4e238fe1f2440ff8cebff2f21e7e1a3b8dea9d66c844e3d1
File name: Physical0MBR.bin
Detection ratio: 0 / 42
Analysis date: 2012-04-05 12:08:53 UTC ( 9 minutes ago )
<<

OTL.Txt

(177.63 Kio) Téléchargé 141 fois

OTLPE-1.txt

(477 Octets) Téléchargé 130 fois

Ci joint le fichier rapport OTL.txt et le fichier custom scan.

Je suis à cours d'inspiration et je voudrai éviter de formater mon disque systeme.
Merci à tous de l'aide que vous pourrez m'apporter.
Amicales Salutations.
BM30

rem :
os win xp sp3

[MoJac]

Bonjour bullmicral30,

Essayons de vérifier déjà si j'ai tout compris:

- Le rapport que tu as posté libellé OTL.txt est en fait un rapport OTLPE qui a été réalisé depuis un live CD on est bien d'accord ?

- Le rapport OTLPE.txt est en fait le script qui a servi à préciser l'analyse

- Il a été réalisé après avoir passé TDSSKiller qui est présent sur ta machine. Peux tu poster le rapport TDSSKiller ?

tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
SystemDrive représente la partition sur laquelle est installé le système, généralement C:

- Qu'as tu passé exactement comme outils et dans quel ordre ? à partir de quand un début de fonctionnement a pu être constaté ? Je vois des traces d'un tas de trucs: ADRemover, ComboFix, ....

- Peux tu te servir de ta machine en fonctionnement "normal" ou seulement depuis le live CD ?

- Pour le moment OTLPE ne montre pas de fichiers système patchés ... le MBR semble sain aussi, mais si tu as récupéré Un ZeroAccess/Sirefef c'est normal.

- Je te propose de continuer les recherches avant de tenter quoi que ce soit d'autre.

Télécharger sur le bureauRogueKiller (by tigzy)

• Quitter tous les programmes
• Lancer RogueKiller.exe (clic droit et "exécuter en tant qu'administrateur" si tu es sous Vista/Sept).
• Attendre que le Prescan ait fini ...
  
• Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

- Je te propose un autre outil de diagnostic si possible afin de diversifier les points de vue ... On reviendra à OTL si besoin !

Télécharge ZHPDiag2.exe - suivre le lien en bas de page.

• Enregistre le sur ton bureau
• Une fois le téléchargement achevé,fais un double clic sur ZHPDiag2.exe (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept).
• Suis les instructions à l'écran.
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• l'outil a créé 3 icônes: ZHPDiag, ZHPFix et MBRCheck.
  
  
• Double clique sur le raccourci ZHPDiag sur ton Bureau (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept)..
• Clic sur la loupe pour lancer l'analyse.
• Une fois terminé , le rapport s'affiche : Enregistrer ce rapport sur ton bureau grace à un clic sur la disquette :
  
• Le rapport est assez volumineux, met le en pièce jointe:
  
  - Va en fin de message et suis les indications:
  
  
  
• NB: Le rapport se situe aussi sous C:\ZHP\ZHPDiag.txt
  
• Note pour les utilisateurs d'Avast : cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

Dernier point: je ne serai pas obligatoirement très disponibles dans les heures qui viennent, donc un peu de patience.

A plus

[bullmicral30]

Bonsoir,
et tout d'abord merci de te pencher sur mon probleme.
-Effectivement tu as bien vu pour le rapport OTL (le rapport lui même et le fichier de scan personnalisé).
-J'ai passé un tas d'outils et malheureusement je ne me souviens plus dans quel ordre ;
-adwcleaner
-Combofix
-lspFix
-rcpsetup_onlyad2.exe
-tdsskiller.exe
-TFC.exe
-winsockfix.exe
-xptcprep.exe
-OTL.exe
-Je crois avoir recuperé clavier/souris apres Combofix mais sans certitude.
-Ma machine ne fonctionne pas normalement,même en mode sans echec :
-lenteur
-pas de réseau
-pas de lecteur cd/dvd
-com1 en erreur
-parfois bloquage complet
voici les rapports

TDSSKiller.2.7.23.0_03.04.2012_18.42.21_log.txt

(4.08 Kio) Téléchargé 140 fois

TDSSKiller.2.7.23.0_03.04.2012_18.51.35_log.txt

(192.85 Kio) Téléchargé 131 fois

TDSSKiller.2.7.23.0_26.03.2012_21.49.50_log.txt

(95.22 Kio) Téléchargé 124 fois

Je vais lancer Roguekiller et ZHPdiag2
je t'envois les rapports des que c'est fait
A plus tard
BM30

[bullmicral30]

Voici les rapports
-Roguekiller sous (live cd) :

RKreport[1].txt

(1.56 Kio) Téléchargé 130 fois

-Roguekiller sous (mode sans echec) :

RKreport[2].txt

(1.72 Kio) Téléchargé 123 fois

-ZHPdiag sous (live cd) :

ZHPDiag.Txt

(162.62 Kio) Téléchargé 123 fois

Bonne lecture ....
Merci
BM30

[MoJac]

Salut bullmicral30,

Ok. Il serait intéressant aussi d'avoir les rapports ComboFix ... pour voir à qui on a eu à faire.

- Pour l'heure, il s'avère que tu as procédé à une utilisation un peu trop radicale de TDSSKiller et des fichiers systèmes indispensables ont été mis en quarantaine.

- Le rapport TDSSKiller.2.7.23.0_03.04.2012_18.51.35_log.txt montre 26 objets ( UnsignedFile.Multi.Generic ) qui ont subit ce sort. Le pb est que ces fichiers ne sont probablement pas infectés (la dénomination "unsigned" provient d'une fonction WMI de Windows qui a été bouzillée par le malware ...

- La solution est dans un premier temps de remettre ces fichiers là où ils étaient. Soit en les retrouvant dans la zone de quarantaine de TDSSKiller, soit en recherchant dans les caches de Windows ou les .CAB ...

- Je pense que tu as quelques compétences en informatique, il est possible de faire ça depuis le liveCD. Ce n'est pas très compliqué mais long et fastidieux ...

- Te sens tu capable de te lancer là dedans ?

- Je vois que tu as Ghost de Symantec, si tu as un backup de ta config pas trop ancien c'est le moment de la mettre en œuvre. Il est clair que vu les innombrables traitements réalisés c'est sans doute la solution la moins risquée. Le live CD te permet de retrouver tes documents importants et les mettre en lieu sûr avant.

- Lorsque les drivers seront à nouveau en place, normalement la machine devrait repartir. Il sera alors, peut être, possible de réparer.

Que veux tu faire ?

[bullmicral30]

Bonjour,
désolé de ne pas t'avoir contacté plus tot ,
pour le moment j'ai recuperé a peux pres un fonctionnement normal.
De plus je n'ai pas beaucoup de temps je dois m'absenter quelques jours.
Je te recontacte a mon retour
et surtout merci beaucoup pour l'aide apportée.

A bientot.
BM30

[MoJac]

Bonjour bullmicral30,

- OK, je ne vis pas dans l'angoisse. Chacun fait comme il peut ...

Actuellement TDSSkiller ne permet pas de "rollback" depuis le dossier Quarantaine. c'est parait il prévu. Entre temps j'ai découvert chez Kaspersky que des dév avaient crée un outil permettant de retrouver ses petits.

je ne l'ai pas encore testé (pas de VM infectée actuellement) Si le cœur t'en dit. C'est assez contraignant mais bon ...

Télécharge sur ton bureau TDSSQlook de Daniel and Maxstar

• Choisis A
• En fin de scan le blocnote va s'ouvrir, sélectionne le tou (Cntrl+A) et copie le contenu sur le forum

Tuto : http://forum.kaspersky.com/index.php?sh ... try1783403

------------------------------------------------------------------

- La section 'Dir list' montre le contenu ( fichiers et dossiers) de chaque répertoire du dossier de quarantaine de TDSSKiller.
- La section 'INI files' montre toutes les informations relatives aux fichiers mis en quarantaine.
TDSSKiller renome chaque ficher mis en quarantaine sous la forme *.DTA (tsk0000.DTA par exemple), dans le même susp00**\..\ dossier que le fichier *.ini correspondant. Chaque fichier .ini contient les informations de chaque fichier ...

Exemple:

DSSKiller Quarantine Information log
Version 1.0.0.0
***** START SCAN Sat 12/31/2011 12:45:49.24 *****

---------- DIR LIST ----------

C:\TDSSKiller_Quarantine\30.12.2011_12.42.12
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\object.ini
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\tsk0000.dta
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\tsk0000.ini
C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\object.ini

---------- INI FILES ----------

=== C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\object.ini ===

[InfectedObject]
Verdict: LockedFile.Multi.Generic


=== C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\object.ini ===

[InfectedObject]
Type: Service
Name: sptd
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: \SystemRoot\System32\Drivers\sptd.sys
Suspicious states: Locked file;


=== C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\tsk0000.ini ===

[InfectedFile]
Type: Raw image
Src: C:\Windows\System32\Drivers\sptd.sys
md5: f42efefb765235f24b24e1d2b6f99f46


***** END SCAN Sat 12/31/2011 12:45:52.40 *****
- EOF -

- Le correctif serait:

REN "C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\tsk0000.dta" sptd.sys
COPY "C:\TDSSKiller_Quarantine\30.12.2011_12.42.12\susp0000\svc0000\sptd.sys" C:\Windows\System32\Drivers\

- Donc il faut faire ça pour chaque fichier qu'on veut récupérer

Bonne chance, essaie de nous tenir au courant