Bonjour à tous,
 
Je suis apparemment infecté, selon mon antivirus (AVG Free) par un cheval de troie, qui s'est attaqué au fichier rdpdr.sys (dans System32/drivers). Je suis sous Windows XP SP3.
 
Mon antivirus ne peut rien faire, il se contente de noter la présence du virus.
 
Voila les liens des deux rapports générés par RSIT, hébergés par ci-joint :
 
http://www.cijoint.fr/cjlink.php?f [...] zLoGBO.txt
 
http://www.cijoint.fr/cjlink.php?f [...] 78F6f7.txt
 
 
Quelqu'un pourrait-il m'aider ?
 
Un grand merci d'avance !

Bonjour
 
 
1) Il y a plusieurs barres d'outils néfastes sur ton ordinateur (Ask Toolbar, SearchSettings)... Pour éviter ce genre d'infection, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
 
● Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Clique sur AD-R.exe pour le lancer
● Au menu principal choisis l'option "L" (lancer le nettoyage)
● Poste le rapport qui apparait à la fin (en l'hébergeant, comme tu l'as fait pour ceux de RSIT)
 
Aide en images : Nettoyage
 
 
 
 
2) Ensuite fais ce scan généraliste stp :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"  
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Tout d'abord, merci infiniment pour ton aide.
 
Voici les deux rapports :
 
ADR : http://www.cijoint.fr/cjlink.php?f [...] Mp02fw.txt
 
Anti-Malware : http://www.cijoint.fr/cjlink.php?f [...] AsD5nW.txt
 
D'après ce dernier, j'ai 17 infections. [edit : je précise que ces 17 infections ont été placées en quarantaine et supprimées, d'après le rapport].
 
Que dois-je faire ensuite ?
 
 
 

Ok, on continue
 
 
 
/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

Problème : cela fait plus de 20 mn que Combofix tourne, sans aucun résultat. Il m'a demandé d'installer la console de récupération, il l'a téléchargée, et là il est apparemment bloqué (pas d'activité disque dur ou très peu). Je n'ai accès à rien par ailleurs sur l'interface Windows (qui n'apparaît pas), et il m'interdit de redémarrer, car je l'ai autorisé à le faire lui-même. Je précise que j'ai bien désactivé les logiciels de protection.
 
Que fais-je si ça continue comme ça ?
 
 
 

Supprime Combofix
 
Télécharge le à nouveau ici
Puis réessaye de la même manière stp

OK, mais alors je force mon ordinateur à s'éteindre ? (je n'ai plus accès à aucune commande sur écran)
 
 

Bon finalement, j'ai réussi à faire repartir ComboFix, qui a l'air de s'être correctement déroulé.
 
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] bLF2LR.txt
 
 

Hum, c'est mauvais signe : "detected MBR rootkit hooks"
 
 
On va utiliser Gmer pour vérifier quelque chose :
 
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Poste le rapport (hébergé) dans ta prochaine réponse stp
 
 
 
 
Ensuite :
 
• Rends toi sur ce site
• Clique sur Parcourir, navigue jusqu'à ce fichier et lance l'analyse : c:\windows\system32\biolsp.dll      
• Si VirusTotal te dit que le fichier a déjà été analysé, demande une nouvelle analyse stp

Voici le rapport GMer : http://www.cijoint.fr/cjlink.php?f [...] hTkXQg.txt
 
 

Et voici le rapport du site Virus Total : http://www.cijoint.fr/cjlink.php?f [...] vNniM6.pdf
 

Ok
Je vais devoir te demander une autre analyse VirusTotal : C:\Windows\system32\DRIVERS\rdpdr.sys

Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] n95aqo.pdf
 
 

Mets à jour ton antivirus et fais une nouvelle analyse de ton ordinateur
Dis moi s'il détecte quelque chose (localisation et nom du fichier). S'il y a la possibilité d'envoyer un rapport à la fin de l'analyse, fais le aussi stp (en l'hébergeant, comme d'habitude)

Bonsoir,
 
Je viens d'achever une analyse complète après MAJ, par AVG Free 9.
 
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] LXvjhl.txt
 
Il indique une infection par un spyware type : Adware.generic.EDD, il a procédé à une mise en quarantaine.
 
Il n'a pas relevé d'autres virus.
 
Je suis sorti d'affaire ?
 
 

Pour désinfecter tes disques amovibles :
 
• Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le programme USBFix sur ton Bureau
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp
 
Aide en images : Nettoyage

Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] X8o46i.txt
 
Je précise que j'ai eu un problème au reboot, car ma clef USB empêche le chargement du premier écran (avant Windows), problème qui existe depuis l'origine (il s'agit d'une clef Sandisk microcruzer U3, l'interface U3 étant désactivée). Je l'ai donc déconnectée puis reconnectée, apparemment tout s'est bien déroulé.
 
[EDIT] Apparemment, j'ai toujours un problème : AVG vient de m'indiquer la mise en quarantaine du virus Generic.Backdoor Trucmuche (situé dans System Volume  Information), cela est arrivé après environ 30 mn de mise en veille (cela est déjà arrivé avant que je te contacte). Curieux puisqu'au scan, hier, il n'a rien détecté...
 
[EDIT2] Je viens de refaire un scan par AVG. C'est reparti, 1 spyware et surtout 27 infections, dont le fameux rpdr.sys Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] Iz868a.txt
 
Je n'y comprends plus rien...
 

Pour USBFix c'est bon (à part que le lecteur G n'a pas été vacciné, mais il n'est pas infecté donc ce n'est pas grave)
 
System Volume Information\_restore correspond aux points de sauvegarde de la restauration du système, ça ne correspond pas à des éléments actifs, et c'est normal --> on la purgera à la fin
 
S'il n'est pas trop gros, peux-tu m'envoyer ce fichier stp : C:\WINDOWS\system32\drivers\rdpdr.sys
Pour ça, fais un clic-droit dessus --> envoyer vers --> Dossier compressé
Puis envoie moi le nouveau dossier rdpdr.zip via cijoint stp

Voici le fichier rdpdr.sys : http://www.cijoint.fr/cjlink.php?f [...] y6XkUE.zip
 
Et, de nouveau, merci de me consacrer de ton temps pour m'aider !
 
 

Je n'ai pas trouvé d'éléments néfastes dans ce fichier... Mais si c'est le rootkit TDL (comme le laisse penser le message "detected MBR rootkit hooks" indiqué par Combofix), c'est normal qu'on ne trouve rien car l'infection est capable de "se cacher"...
 
Par précaution, on va procéder au remplacement de ce fichier par une copie saine. Pour ça :
 
• Télécharge SEAF (de C_XX)
• Dans les options, règle "Calculer le checksum" sur "MD5", puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
• Tape rdpdr.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
• A la fin, poste le rapport dans ta prochaine réponse

Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] g6QHTy.txt
 
 
 

Hum... On va essayer comme ça, en espérant que ça fonctionnera :
 
• Télécharge WinFileReplace (de Loup Blanc)
• Lance le, choisis la langue puis laisse toi guider
• Le bloc-note va s'ouvrir et te demander le fichier a restaurer, tape ceci :
 
C:\WINDOWS\system32\drivers\rdpdr.sys
 
• Ferme le bloc-notes et enregistre les modifications
• Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
• Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
• L'ordinateur va redémarrer, laisse le faire.
• Au redémarrage, un rapport va apparaître : envoie le moi ici stp.

Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] d7870r.txt
 
 

Apparemment le remplacement du fichier a réussi
 
Ton antivirus détecte-t-il toujours une infection sur ce fichier ?

A priori pas d'infection sur rdpdr.sys (j'ai fait une analyse ciblée sur Windows/system32/drivers mais l'antivirus m'indique toujours des infections dans le volume restore (mais tu m'a dis que c'était normal ;-)).
 
 

Re-belote.
 
J'ai de nouveau procédé à une analyse complète AVG, voilà ce que ça me donne : http://www.cijoint.fr/cjlink.php?f [...] 4cH0WQ.txt
 
Cela, deux minutes après l'analyse ciblée qui ne donne rien, et revoilà une infection de rdpdr.sys
 
C'est difficile à comprendre, j'ai l'impression d'avoir réinfecté le fichier par l'intermédiaire de l'analyse antivirus...
 
J'y perds mon latin, perso...
 

Moi aussi  
 
Réessaye un scan Gmer pour voir stp, mais cette fois coche toutes les cases (sur le côté droit) avant de cliquer sur "Scan"

Je te tiens au courant ce soir, je n'aurai pas le temps de procéder au scan avant.
 
A+, merci encore pour ton aide
 
 

Je viens de refaire un scan, ciblé comme la dernière fois, le virus a, de nouveau, disparu.
 
Or, hier, après mon scan complet, j'avais fait un scan ciblé qui avait confirmé l'infection.
 
Du coup, je me dis que le problème vient, peut-être, de l'antivirus, aurais-tu un autre antivirus comparable à me conseiller, pour faire une double vérification ?
 
quoiqu'il en soit, je t'envoie le rapport GMer ce soir
 

Voici le rapport Gmer : http://www.cijoint.fr/cjlink.php?f [...] EVfQ39.txt
 

Je n'ai pas d'explications à te donner  En dernier recours :

- Tu peux utiliser un scan avec un LiveCD antivirus (DrWeb et AntiVir) en suivant ce tutoriel. Si tu essaye ça, fais d'abord une sauvegarde de tes documents, au cas où tu n'aies plus accès à Windows après le scan (on ne sait jamais...)

- Sinon, tu peux aussi essayer de contacter l'éditeur de ton antivirus pour voir s'il ne s'agit pas d'un faux positif...

Le scan Gmer est propre ?
 
 

Apparemment oui...

Bon, j'ai refait l'analyse AVG, qui détecte des infections (seulement en analyse complète), et juste après, j'ai fait une analyse Virus Total (puisque j'ai l'impression que l'infection se "révèle" avec l'analyse complète AVG), qui, cette fois-ci découvre des infections.
 
Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] EacSZE.pdf
 
Est-ce que ça peut aider ?
 
 

Je vais essayer de récupérer une copie saine de ce fichier, et on essayera à nouveau de le remplacer
Je te recontacte dès que je l'ai (je pars en vacances demain donc je serai un peu moins présent, mais je ne te laisse pas tomber )

C'est vraiment sympa. Et déjà : bonnes vacances.
 
Pour ce que ça vaut, mon domaine à moi, c'est le droit (je suis universitaire et avocat) : si jamais tu as un problème, n'hésite pas (il y a aussi des sacrés "virus" dans le monde du droit) ;-)
 
 

Merci

Peux-tu vérifier si ce fichier est présent sur ton ordinateur stp : C:\FR-files\rdpdr.sys

Il est présent sur l'ordi.
 
 

• Clique sur Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Décoche "Masquer les extensions de fichiers connus" et valide.
 
Renomme le fichier C:\FR-files\rdpdr.sys en Mustrum.bak (ne laisse pas l'extension .sys)
 
 
/!\ ATTENTION /!\
Le programme qui suit est très puissant, il peut endommager l'ordinateur s'il est mal utilisé !
Le script proposé ici a été écrit spécialement pour Mustrum1975, il n'est pas transposable sur un autre ordinateur !
 
/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\
 
• Télécharge The Avenger (de Swandog46) sur le Bureau
• Fais un clic-droit sur le dossier Avenger.zip → Extraire tout → Choisis le Bureau comme destination
• Ouvre le nouveau dossier Avenger qui est apparu sur ton Bureau → Lance le fichier avenger.exe qu'il contient.
• Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.
 
• Clique sur ce lien
• Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
 
• Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
• A la fin, il te demandera de redémarrer ("reboot" ), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
• Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.

Voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] whADlf.txt
 
A priori, tout s'est bien passé, mais bon...;-)