Reprise du message précédent :
voici la manip avec OTL sur le liveCD de OTLPE , il s'agit de déterminer si des copies du fichier "rdyboost.sys"  sont  patchés par le système
le live permet que le Rootkit soit absolument inactif.
 

• Télécharge le fichier OTLPE.iso
• Grave le sur un CD vierge
• Insère le CD dans le lecteur de l'ordinateur infecté et fais redémarrer l'ordinateur en ayant réglé la séquence de boot pour démarrer sur le lecteur CD
• L'ordinateur doit démarrer sur le CD, et tu vas arriver sur un Bureau comme celui-ci
• Clique sur OTLPE puis laisse toi guider
•  Quand OTL sera lancé, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes"
• ajoute cette commande:  %SYSTEMDRIVE%\rdyboost.sys /s /md5  
• clique sur "Run scan" et patiente pendant l'analyse
• A la fin, héberge le rapport OTL.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  

tu as ici un tutoriel pour t'aider
 
mais attends aussi la proposition de zenico3 ,puisqu'il est question graver un CD, il doit aussi penser à un liveCD,   je ne crois pas qu'il pense à un Formatage/réinstallation  

Bonjour glops31,
 
J'ai gravé le CD iso  d'OTLPE.
Pas de problème au démarrage, ni au lancement d'OTLPE.
Au lancement du logiciel, j'ai indiqué mon disque système, en l'occurence "C:" et le répertoire : "Windows". J'ai inscrit la commande que tu indiques et j'ai lancé le scan. Celui-ci se lance, dure un certain temps puis m'annonce que celui-ci est terminé. Aucun rapport n'apparait.
 
En allant sur C:\_OTL\Movedfiles, je trouve un fichier ".log". A l'ouverture, je lis ceci :
 
Error: Unable to interpret <%SYSTEMDRIVE%\rdyboost.sys /s /md5> in the current context!
OTLPE by OldTimer - Version 3.1.39.0 log created on 05172010_143448
 
Pourquoi ? ...
 
Je n'ai pas de nouvelle de zenico3 mais je ne peux pas lui reprocher de ne pas être "pendu" à cette discussion sans arrêt.
 
A bientôt.
 
Dan38

bonjour
recommence avec cette commande stp?
C:\rdyboost.sys /s /md5

Bonjour,
 
Désolé ...
Le scan s'effectue, semble-t-il, normalement.
Il se termine par un message (en bas de la fenêtre, là ou défilent les fichiers scannés) indiquant que le scan est terminé.
Pas de rapport qui s'ouvre et nul trace cette fois de fichier ".log" dans le répertoire "_OTL". (J'avais, au préalable effacé le premier rapport).
 
Voilà ... les dernières nouvelles.
 
Dan38

Bonjour glops31,
 
Une information (peut-être ...) utile ?
 
Le fichier rdyboost.sys se trouve sur mon ordinateur aux endroits suivants :
 
                  C:\Windows\System32\drivers
                  Ce fichier crée le 14/07/2009 a été modifié le 10 mai 2010 à 23 h 19... soit sensiblement au moment ou j'ai utilisé  "TDSS Remover". Y a-t-il un lien ?
 
et  
 
                  C:\Windows\Winsxs\x86_microsoft-Windows-readyboostdriver_316f3856ad364035_6.1.7600.16385_none_147bcaa5650a0d
                  Ce fichier date du 14/07/2009 et ne semble pas avoir été modifié depuis.
 
Dois-je utiliser OTLPE en plaçant ces liens dans la fenêtre (du style : C:\Windows\System32\drivers\rdyboost.sys /s /md5)  ?
 
J'attends ta réponse avant toute action.
 
Dan38

non c'est moi qui me plante dans les commandes, renseignement pris ,voici certainement la bonne :
 
/md5start
rdyboost.sys
/md5stop
 
 
le fichier "rdybootst.sys" a été corrigé par "Tdss remover" ,ce que détecte Norton à présent c'est certainement  une/des copies patchées de ce fichier ,c'est ce que nous cherchons avec OTL

Bonjour,
 
Hélas ... !
Même manipulation, même résultat.
 
Le scan se termine par la même phrase : "Scans complete !".
 
Pas de fichier ".log" qui s'ouvre, pas de fichier du tout dans : "C:\_OTL\MavedFiles\" (ni ailleurs).
 
Désolé pour tout ce travail que je te donne ...
 
Dan38

Bonjour
 
Dernière tentative ,si cela ne fonctionne pas nous ferons autrement...
 
lorsque tu lances OTLPE
 
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifie que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK
 

 
 
Vérifie que les paramètres sont identiques à ceux de l'image ci-dessus
 
à la fin du scan ferme la fenêtre OTLPE
 
le rapport doit être stocké à la racine de C: => soit C:\OTL.txt

Re-bonjour,
 
J'ai trouvé le "fameux" rapport "OTL.txt".
Ce qui m'a induit en erreur c'est qu'à la première manipulation avec OTLPE, le fichier de rapport, (celui indiquant l'erreur), se trouvait dans le répertoire "C:\_OTL" et non à la racine de C. Ensuite je n'ai pas pensé à regarder là ... Mille excuses. Par contre aucun fichier ne s'est ouvert à l'issue des scans ...
 
Voici donc le rapport obtenu avec l'avant dernière manipulation que tu avais demandé.
           
                          http://www.cijoint.fr/cjlink.php?f [...] 3Gktgt.txt
 
Par acquis de conscience, je refais cette manip avec tes dernières instructions et je le poste.
 
Dan38

Suite,
 
Je viens de refaire un scan avec OTLPE.
1 - Je n'ai pas (je n'ai jamais eu) l'apparition du premier message "Do you wish to load the remote registry".
2 - Pour les autres questions, mes réponses concordaient avec ce que tu demandes.
3 - J'ai, cette fois, modifié le choix "Extra Registry" de "none" (par défaut) en "Use SafeList" comme sur la capture écran.
4 - Je n'ai rien inscrit dans le cadre "Custom Scans/Fixes".
 
Le scan c'est normalement déroulé, voici le rapport : (Encore cette fois, celui-ci ne s'est pas ouvert à l'issue du scan).
 
                                         http://www.cijoint.fr/cjlink.php?f [...] eHbLmc.txt
 
A bientôt.
 
Dan38

ces rapports sont inexploitables car il ne montrent pas du tout ce qu'on cherche à trouver
à savoir toutes les copies du fichier "rdyboost.sys" et leur MD5
 
nous allons appliquer le plan B
 

• Télécharge SEAF (de C_XX)   sur ton Bureau.
• Lance SEAF
• Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".

• Tape: rdyboost.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.

• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche,toujours en passant par cijoint.fr.

Nous aurons ensuite encore recours à OTLPE pour soumettre les copies trouvées à "Virus Total"  
 

Bonsoir glops31,
 
La manip s'est correctement déroulée.
Voici le rapport :
 
                                   http://www.cijoint.fr/cjlink.php?f [...] uX7Fcm.txt
 
J'espère que cela t'aidera. Bonne nuit.
 
Dan38

en fait j'avais pas bien vu le fichier la copie infectée du fichier est bien montrée sur le 1er rapport, mais pas sur le second (normal puisque cela n'a pas été demandé dans le custom scan )
 
la voici:
[2009/07/13 21:19:04 | 000,173,648 | ---- | M] () MD5=A587D61D29A6A856C3AAEA80EDB04094 -- C:\Windows\winsxs\x86_microsoft-windows-readyboostdriver_31bf3856ad364e35_6.1.7600.16385_none_147b5caa5650a0d5\rdyboost.sys
 
 
demain on le supprime, on avance
 
bonne nuit!
 
 

Bonjour,
 
Excellente nouvelle !
J'attends tes directives.
 
Bonne journée.
 
Dan38

bonsoir
 
le plus simple est de démarrer sur le live CD/ OTLPE et d'éffacer directement le fichier en suivant le chemin indiqué
 
si toutefois tu n'y arrivais pas ,on fera un script,mais il n'y a pas de raison
 
A+

Bonsoir glops31,
 
J'ai supprimé manuellement le fichier :"rdyboost.sys" avec le Live CD/OTLPE. Il n'y a pas eu de problème (J'ai laissé le répertoire, "x86_microsoft-windows-...." ).
 
Ensuite j'ai relancé une analyse complète avec Norton.
Il me trouve encore un virus "Blackdoor.Tidser!inf", cette fois dans :
                                    C:\recycler\s-1-5-18\dc3.sys
Or, lorsque je vais dans ce répertoire (s-1-5-18), le fichier "dc3.sys" n'apparait pas ...  
 
Qu'en penses-tu ?
 
Je te joins en fichier ".pdf" la copie des messages Norton (2 pages) :
 
                                   http://www.cijoint.fr/cjlink.php?f [...] 17mvXy.pdf
 
A demain.
 
Dan38

bonsoir
 

et en affichant les fichiers /dossiers cachés?
 
si tu peux vide la corbeille.
 
A+

Bonjour,
 
Dire que j'ai l'impression de tourner en rond avec ce Blackdoor est peu dire.
Voici le résultat de mes manipulations.
 
1 - Les fichiers et dossiers cachés sont bien affichés.
2 - J'ai vidé la corbeille. En vidant la corbeille, j'ai supprimé les fichiers qui étaient apparant dans le répertoire "s-1-5-18". Mais toujours pas de fichier "dc3.sys" nul part.
3 - J'ai relancé une analyse avec Norton : même résultat qu'hier, même Blackdoor, même lieu d'infection trouvé : "C:\RECYCLER\s-1-5-18\dc3.sys" ! Bien sûr ce fichier n'est toujours pas visible.
4 - Lorsque je regarde les "propriétés" du répertoire "s-1-5-18" je constate qu'il fait 172 octets et qu'il contient ... 4 fichiers et 1 dossier.
5 - Si j'analyse ce répertoire "s-1-5-18" avec MBAM le rapport est négatif MAIS curieusement le fichier "dc3.sys" apparait dans la fenêtre des fichiers de l'explorateur Windows. Sa taille est de 0 octet. Si je regarde les propriétés de ce fichier il apparait qu'il vient d'être supprimé. Si je tente alors de le "re-supprimer" manuellement, c'est bien sur impossible (rien ne se passe). Si je change de répertoire et si je reviens ensuite sur "s-1-5-18", le fichier n'apparait plus.
6 - Si je fais, toujours sur ce répertoire, une analyse avec Spybot, celui-ci effectue d'emblée, des recherche "Malware" et "heuristique" sur les fichiers suivants : Dc1.log, Dc3.sys, desktop.ini et INFO2. Il ne trouve rien. Mais la même réapparition du fichier dc3.sys s'effectue dans l'explorateur Windows. Les propriétés me disent qu'il vient (encore) d'être supprimé ...
7 - Si je boot sur le Live CD/OTLPE, avec le programme : "Xplorer.2_lite" et si je vais sur le répertoire "RECYCLER"; Il apparait alors 1 dossier (05172010-143448) et 2 fichiers (05172010-143448.log) et (rdyboost.sys). Si je les suprime ils disparaissent. Si je change de répertoire et si je reviens, alors c'est le répertoire "s-1-5-18" qui réapparait. Les propriétés de ce répertoire disent qu'il a été crée le 17/05, qu'il fait 2,42 KB et qu'il contient 2 fichiers ... que je ne vois pas ...
 
Voilà. J'espère que ces renseignements pourront t'aider.
 
Bon après-midi et à bientôt.
 
Dan38

bonjour
 
verrouilé par norton ??,je connais pas suffisamment  
 
ou bien peut être une solution ici => http://forum.hardware.fr/hfr/Windo [...] 0133_1.htm

relance OTLPE,on peut essayer de faire un script de suppression,mais si tu n'as pas réussi en manuel,je doute
 
dans le cadre custom scans/fixes cole ceci
 
:files
C:\RECYCLER\s-1-5-18\dc3.sys
 
clique sur RUN FIX

Bonjour,
 
Durant mon absence, j'avais lancé une Xième analyse avec Norton.
Je rentre et ... surprise ... Norton ne détecte plus le fameux Blackdoor ... Magique, n'est-ce pas ?
Peut-être la manip avec le Live CD/OTLPE a-t-elle permis d'effacer définitivement ce fichier ...
 
Le répertoire "s-1-5-18" est vide ; cependant, lorsque je regarde les propriétés de celui-ci, je lis : "2 fichiers et 0 dossier" (au lieu de "4 fichiers et 1 dossier" avant). Une analyse avec MBAM ne donne rien MAIS je n'ai PLUS l'apparition du fichier "dc3.sys".
 
Cela semble un bon signe ?
 
Qu'en penses-tu ?
 
Et maintenant ... que faut-il faire (s'il reste quelque chose à faire pour le problème de virus ?).
Et pour Java ... ?
 
Je ne tente pas la manip avec OTLPE.
 
A bientôt.
 
Dan38

Bonne nouvelle
 
normalement le rootkit est désormais totalement inactif
 
fais un nettoyage du registre avec ccleaner
 
essaie ensuite d'installer java 6 update 20 => http://www.java.com/fr/download/
 
si tu ne peux toujours pas essaie de te servir de javara pour désinstaller les restes éventuels des précédentes install
sers toi de la fonction de suppression des anciennes version
 

• Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

tutorie l javara

•  Décompresse le fichier sur le Bureau  
•  Double-clique sur le répertoire JavaRa.
•  Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
•  Choisis "Français" puis clique sur "Select".
•  Clique sur "effacer anciennes versions".

http://freewares-tutos.blogspot.co [...] -jour.html
http://forum.malekal.com/javara-t16643.html
 
 

Bonsoir glops31,
 
Changeons de problème.
 
1 - L'installation de Java est impossible. J'ai toujours la même erreur 2203 que j'avais déjà signalée.
2 - J'avais déjà tenté d'utiliser JavaRa. J'ai recommencé la manip. Premier cas : désinstallation d'anciennes versions, bien sûr il ne trouve rien (j'avais déjà supprimé manuellement les répertoires concernés, (voir un message "ancien" )). Deuxième cas : installation d'une nouvelle version, après téléchargement, au lancement de l'application, il arrive un moment (toujours le même) ou la fameuse erreur 2203 apparait et bloque le processus. Je n'ai rien trouvé dans les tutoriels qui puisse m'aider ...
 
J'ai effectué un nettoyage avec Ccleaner.
 
Désolé.
Bonne nuit et à plus tard.
 
Dan38