Re: Probleme rencontré suite à desinfection PC

**Pierre13** le Ven 2 Avr 2010 - 9:04

J'ai aussi vu dans le rapport qu'il y a Spybot S&D...

si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection.

Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
A gauche, cliquez sur "Outils", puis sur "Résident".
Décochez la case devant Résident "TeaTimer" puis quittez Spybot

Comme tu peux le voir, le rapport est très long...donc à analyser aussi...

Je reviendrai cet après midi pour la suite...

Pierre

**FEMOL** le Ven 2 Avr 2010 - 9:09

ok! Bon pour cet après midi!
Le directoire SPYBOT est vide...cela doit etre un résidu.
Je l'ai effacé!

**FEMOL** le Ven 2 Avr 2010 - 9:41

Bon je crois avoir compris concernant G:\iqe68o.bat
En analysant de nouveau le fichier log.txt de rsit ce sont des valeurs contenus dans le registre!
J'ai donc fait un regedit et j'ai supprimé du registre toutes les valeurs trouvées contenant ce iqe68o.bat!!!

**FEMOL** le Ven 2 Avr 2010 - 10:10

Bon tous dégommés excepté:
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINNT\system32\2.tmp
Ça c'est plus compliqué!
Une recherche sur le web semble pourtant bien indiquer un malware!!
http://forums.majorgeeks.com/showthread.php?t=146504
Avec Regedit je trouve bien dans la clé du registre un MEMSWEEP2 mais impossible de l'effacer!

Si quelqu'un peut me dire comment faire je suis preneur avant de continuer à effectuer les indications données par Pierre!

**picholine** le Ven 2 Avr 2010 - 10:30

Bonjour FEMOL Coucou

Attends le passage de Pierre avant de supprimer quoi que ce soit, s'il te plait.

@ ++

**FEMOL** le Ven 2 Avr 2010 - 11:04

Bonjour Picholine,
J'ai déjà supprimé tout ce que m'avais dit Pierre exception faite de ce MENSWEEP2!
Je l'attends donc!
Bonne journée à toi.

**FEMOL** le Ven 2 Avr 2010 - 11:43

Pierre,
Voici l'adresse d'un nouveau fichier info.tx de rsit effectué après avoir oté les éléments demandés!
http://senduit.com/a5738b
Voici l'adresse du fichier info.txt:
http://senduit.com/7cb237
Ces deux fichiers ont donc été généré après avoir éliminé dans le registre les indésirables via regedit et redémarrage de la machine.
A l'aide de l'utilitaire beyond compare, j'ai pu vérifier que les éléments que tu m'as demandé d'ôter n'apparaissent plus.
Je poursuis donc avec tes instructions!

**FEMOL** le Ven 2 Avr 2010 - 11:47

Pierre,
L'adresse de "Télécharge USB-set
de Loup blanc sur ton
Bureau." est erronée ou alors ils ont éradiqué le site!
J'attends que tu me la renvoie.
Merci.

**picholine** le Ven 2 Avr 2010 - 11:57

Re FEMOL

Voir ici : USB-set

Téléchargement direct

@ ++

**FEMOL** le Ven 2 Avr 2010 - 12:05

Voici le résultat de USB-set (Merci Picholine

)

A tout a l'heure!

**Pierre13** le Ven 2 Avr 2010 - 14:15

Salut

Merci picholine d'avoir donné le bon lien...

S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINNT\system32\2.tmp

Ça, c'est facile à supprimer avec MBAM...mis à jour avant.

Fais donc un scan COMPLET avec MBAM. N'oublies pas de connecter les supports USB avant !

Poste le rapport ensuite.

Voici la procédure au cas ou tu ne l'aurais plus:

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
Afin de lancer la recherche, clic sur"Rechercher".
Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Ça peut durer un bon bout de temps...Patiente jusqu'au bout!

Pierre

**FEMOL** le Sam 3 Avr 2010 - 1:00

Effectivement analyse hyper longue.
Voici le rapport MBMA:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3946

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02/04/2010 23:49:02
mbam-log-2010-04-02 (23-49-02).txt

Type d'examen: Examen complet (C:\|D:\|H:\|J:\|)
Elément(s) analysé(s): 649351
Temps écoulé: 7 heure(s), 20 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Rien!!!

Je me pose sérieusement des questions!!!
Mais bon l'heure est a aller

A demain peut-être....

**Pierre13** le Sam 3 Avr 2010 - 8:03

Salut

Rien!!!

Ah ben, c'est une bonne nouvelle...non ?

Faudrait tout de même faire un scan en ligne pour vérifier...

ESET Online Scanner :

Tuto :(Merci à nico-dodo) http://forum.pcastuces.com/eset_online_sca...oriel-f31s9.htm

Rends toi sur ESET Online Scanner
Coche la case YES, I accept the Terms Of Use
Clique sur le bouton Start
Clique maintenant sur Install button
Clique a nouveau sur Start
Les mises a jours du scan en ligne vont se faire.
Ne coche pas Remove found threats
Clique sur Scan button
Le scan va démarrer, sois patient.
Quand le scan sera terminé, clique sur Details tab

-->Copie colle en réponse le contenu de C:\Program Files\EsetOnlineScanner\log.txt back

J'aurais voulu savoir comment se comporte le PC et est-ce que tu as retrouvé les données ?

Si tu ne les as pas retrouvées, il y a bien un logiciel qui pourrait en récupérer...tout ou en partie suivant qu'elles ont été écrasées ou pas...

Voir sur cette page

Pierre

**FEMOL** le Sam 3 Avr 2010 - 13:09

Bonjour Pierre,
Rien!!! Effectivement plutôt bonne nouvelle.
Sauf que l'ingénieur que je suis se pose des questions. Comment une restauration d'une sauvegarde sensée être vérolée peut-elle aboutir a un état "sain"!
Il y a matière à se poser des questions qui au delà de demeurer profondément mystérieuse ne me permette pas de dominer la situation et donc un léger sentiment de frustration.
Cela dit la parenthèse je referme!

J'aurais voulu savoir comment se comporte le PC et est-ce que tu as
retrouvé les données ?

Le PC me semble se comporter de manière "saine". Par contre au niveau des données je n'ai absolument rien récupéré.

Si tu ne les as pas retrouvées, il y a
bien un logiciel qui pourrait en récupérer...tout ou en partie suivant
qu'elles ont été écrasées ou pas

Je vais suivre tes instructions.
Je te propose par contre de laisser passer pâques ("pessah") le passage!!
Je t'envoie le rapport de ESET...
J'essaye de voir si j'arrive a récupérer mon environnement passé...ca serait le top. Mais bon!!!doute tu m'assailles.....
Je te propose que l'on se recontacte lundi....histoire de prendre un peu de vacances!
Joyeuses Pâques Pierre!!!!

**Pierre13** le Sam 3 Avr 2010 - 15:11

Salut

Comment une restauration d'une sauvegarde sensée être vérolée peut-elle aboutir a un état "sain"!

L'explication en est simple...

La sauvegarde est sous la forme d'un fichier compressé contenant de nombreux fichiers...
Dans ces fichiers, il y en a eu un ou plusieurs qui étaient infectés et comme il faisait partie d'un "groupe" (par exemple un logiciel ou un jeu), c'est tout le groupe qui a été mis en quarantaine...

Lors de la restauration, on a rétabli ces fichiers et tu as supprimé les fichiers infectés avec l'outil Assassin de MBAM, donc le "groupe" n'est plus infectieux...c'est ce qui explique que les analyses ne donne rien de spécial.

Pour ce qui est du fichier que tu n'arrivais pas à supprimer, il s'agissait bien d'une clé de registre, mais je voulais être sûr que le fichier associé à cette clé était bien effacé.

Pour supprimer ces clés de registre infectieuses ( s'il en reste), on va se servir d'un autre outil...

J'essaye de voir si j'arrive a récupérer mon environnement passé...ca serait le top.

Ce ne sera possible qu'après le passage des outils pour les lignes infectieuses...

Je te propose que l'on se recontacte lundi....histoire de prendre un peu de vacances!

Pas de problème...ça ne va pas faire de mal...Surtout qu'il y a encore beaucoup de travail au niveau des mises à jour du PC...(SP3 et IE8 par exemple...)

Bon Week end.

Pierre