Votre question

Virus bloque mise à jours et pare feu Windows résolu

Tags :
  • Virus
  • Pare-feu
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Novembre 2011 20:04:23

Bonjour à tous,

J'ai obtenu un virus sur mon pc car j'ai été très négligeant avec celui-ci. Cela fait plus de 2 ans que je n'ai pas fait de mises à jours windows et que le pare feu windows est désactivé. Le virus en question m’empêche de faire la moindre mise à jours windows, bloque mon pare feu et ralenti énormément mon ordinateur. J'ai fait des analyses antivir, ad aware, spybot et malwaresbytes, j'ai tout supprimé mais le virus en question est toujours là...

Merci d'avance de votre aide.

Autres pages sur : virus bloque mise jours pare feu windows

a c 614 8 Sécurité
12 Novembre 2011 21:32:30

Bonsoir,

On va voir l'étendu des dégâts ...

Poste-nous les rapports Antivir et Malwarebyte's s'il te plait :

Antivir : ouvre le programme puis sous "aperçu" -> rapport : double clique sur le rapport pour l'ouvrir, puis bouton "rapport" pour l'afficher dans un fichier bloc-note.
Enregistre ce bloc-note sur ton bureau, puis fais ceci :
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Malwarebyte's : ouvre le programme puis onglet "rapport/log" -> double clique sur le rapport pour l'ouvrir, et fais de même.


Ensuite :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    12 Novembre 2011 22:15:31

    Bonjour et merci de ta réponse rapide.

    Je suis dans l'incapacité d'ouvrir OTL (une erreur est détectée et je n'ai pas d'autres choix que d'arreter l'execution), j'ai également essayer de l'ouvrir en mode sans echec en vain.

    Voici deux liens, le premier est celui de hijackthis (je me suis permis d'en faire un, j'espere que ca vous aidera à mieux cibler mon probleme) et le deuxieme est celui de Malwarebyte's.

    Le rapport d'antivir est introuvable...

    Encore merci de ton aide.


    http://pjjoint.malekal.com/files.php?id=HijackThis_n12l...

    http://pjjoint.malekal.com/files.php?id=v13j15h14v9m8v7...
    Contenus similaires
    a c 614 8 Sécurité
    12 Novembre 2011 22:32:57

    Re,

    Puis-je avoir l'erreur exacte qui se produit avec OTL s'il te plait ?
    12 Novembre 2011 22:36:54

    OTL a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

    Si vous étiez en train d'effectuer un travail encours, les informations sur lesquelles vous travailliez peuvent avoir été perdues.

    Avec deux boutons " débogage" (qui ne fonctionne pas) et "fermer"

    12 Novembre 2011 22:47:46

    Petite précision sur mon virus: j'ai l'impression qu'internet explorer est largement affecté... Mes paramètres de confidentialité sont au plus bas (accepte tous les cookies) et je ne peux les changer. J'utilise désormais mozilla et malgré cela, je suis parfois rediriger vers des pages suspectes en naviguant avec celui-ci.

    Merci encore.
    a c 614 8 Sécurité
    12 Novembre 2011 22:52:46

    Re,

    Ok voyons sans alors.

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    12 Novembre 2011 23:17:01

    Re,

    Cela ne fonctionne pas également. Cette fois-ci le problème est différent, rien ne se passe (le sablier fait mine de charger quelque chose puis disparait), le problème est le meme en mode sans echec. J'ai l'impression que le virus est en train de tout me bloquer... Je commence à lacher prise, ca fait deux jours non stop que je me consacre au problème.

    Merci de ton aide
    a c 614 8 Sécurité
    13 Novembre 2011 11:07:27

    Re,

    Ok, c'est qu'il y a le module de blocage des outils de l'infection.

    On passe donc par un autre moyen, un liveCD à créer puis à démarrer dessus :


    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner" ) clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    spsys.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    13 Novembre 2011 14:16:52

    Bonjour,

    Le seul pc avec graveur que j'ai sous la main est le pc infecté. Cependant j'ai téléchargé oplpenet sur cet ordi et il a l'air enclin à être gravé (puisque la question pour graver m'a été posé). J'irai acheter un CD vierge demain et essaierai demain soir.

    Toutefois, je pense à une solution, peut-etre un peu plus radicale: le formatage. J'ai deux partitions (quasiment toutes mes données sont sur D), et j'ai plusieurs questions. Ma version actuelle est windows XP familiale SP3 et j'ai un cd windows XP familiale SP2, est- il possible de formater avec une version XP antérieur? Est- il possible de formater exclusivement C (ce qui j'espere reglera le problème) pour conserver toutes mes données sur D? Aurez tu un tuto se rapprochant de mon cas?

    Quoiqu'il en soit j'essaierai de formater qu'en derniers recours, mais je préfère déjà me renseigner.

    Merci beaucoup de ton aide qui m'est très utile.
    a c 614 8 Sécurité
    13 Novembre 2011 14:38:42

    Re,

    Garde le cd Windows, on pourrait en avoir besoin, car si c’est l'infection à laquelle je pense, on va devoir réinstaller des fichiers...

    Citation :
    Ma version actuelle est windows XP familiale SP3 et j'ai un cd windows XP familiale SP2, est- il possible de formater avec une version XP antérieur?


    Oui, on pourrait tout à fait.

    Citation :
    Est- il possible de formater exclusivement C (ce qui j'espere reglera le problème) pour conserver toutes mes données sur D?


    C'est possible aussi au besoin, mais je préfère d'abord voir si on peut pas régler le souci.

    Citation :
    Aurez tu un tuto se rapprochant de mon cas?

    Oui j'en aurais un si l'occasion devait se présenter.

    :jap: 
    13 Novembre 2011 14:50:53

    Merci beaucoup pour tes réponses.

    Je vais essayer de suivre ta démarche d'ici demain soir.

    Encore merci.
    13 Novembre 2011 15:49:05

    Re,

    J'ai trouvé un vieux cd R qui trainait, du coup j'ai gravé le fichier.

    Je suis sur le bureau en question mais je n'ai pas accés à internet, donc comment pouvoir copier coller le texte dans opl ?

    Merci d'avance de ton aide
    a c 614 8 Sécurité
    13 Novembre 2011 17:20:55

    Re,

    Faut créer un fichier avec ton bloc-note (démarrer -> tous les programmes -> accessoire -> bloc-note) à la base de ton disque dur, tu le retrouves une fois que tu ouvres le bureau du livecd en utilisant "My Computer" pour naviguer sur le disque. Et inversement pour les rapports.

    Bon ... Brontok donc infection des media amovible, plus surement du zeroacces qui traine ou un patch divers de fichier système, plus d'autres fioritures ... on va se marrer ... et je garantie pas la survie du système.




    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Ouvre le lien ci-dessous
    http://cjoint.com/?AKnrpxL0gIC

  • Copie-colle l'ensemble de son contenu ( ctrl + a ; ctrl + c puis ctrl + v ) dans le cadre "Custom Scan/Fix" d'OTL en bas à gauche.

  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    Repasse en mode normal sur le pc

    Télécharge CleanX-II (de sUBs) sur ton bureau.

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

    Purge ta restauration système :

    XP : http://www.inforumatique.fr/forum/la-restauration-du-sy... (Fin du tuto)

    Vista/7 : http://www.inforumatique.fr/forum/post82670.html#p82670

  • Double clique sur CleanX-II.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur CleanX-II.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Valide le message d'avertissement
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!! (Cela peut prendre plusieurs minutes)

    Note : une erreur va s'afficher avant la fin du scan, c'est normal

  • Lorsque l'analyse est terminée, fais ceci pour faire apparaitre le rapport :
    -> Démarrer
    -> Exécuter
    -> tape exactement : %temp%/report.txt
    -> Valide avec "Entrée"

  • copie-colle son contenu dans ta prochaine réponse.
    13 Novembre 2011 18:10:43

    Re,

    J'ai fait le run de OPL mais je n'arrive plus à démarrer mon pc en mode normal...

    J'ai enlevé le CD live run et windows ne démarre en m'indiquant qu'un problème a été detecté.
    Cela a peut etre un rapport avec les modifications faites dans le bios?

    Merci
    a c 614 8 Sécurité
    13 Novembre 2011 18:37:46

    Re,

    Non pas avec l'ordre de boot dans le BIOS mais avec l'infection qu'on essaye de nettoyer oui.

    Relance le liveCD et regarde si tu trouve le rapport de nettoyage, il a du s'enregistrer ici :
    Citation :
    Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
    Poste la contenu du rapport dans ta prochaine réponse.


    Tu le copies au moyen d'une clé usb et tu le transfères sur ton pc fonctionnel, normalement pas de risque de transmettre l'infection sous environnement liveCD.

    a c 614 8 Sécurité
    13 Novembre 2011 19:20:33

    Re,

    Ok la suppression s'est passée normalement.

    Peux-tu me donner exactement l'erreur rencontrée au redémarrage normal de Windows, ou le comportement du pc (à quel moment le démarrage plante)

    Est-ce qu'avec F8 tu peux atteindre le choix de démarrage sélectif comme le mode sans échec ?
    Si oui, le mode sans échec se lance-t-il ?
    13 Novembre 2011 19:29:10

    Je ne sais pas si cela est du au virus ou à un problème technique, mais je ne peux plus allumer l'ordinateur en question... En appuyant sur le bouton de démarrage rien ne se passe. La dernière fois que je l'ai éteint c'est il y a une heure en appuyant sur le bouton au vu de l'échec au démarrage...

    13 Novembre 2011 19:34:09

    Désolé une frayeur inutile (qui montre que je suis un peu à cran) il vient de s'allumer.

    Le mode sans échec est en effet accessible et fonctionne. L'erreur est "windows n'a pas pu démarrer correctement" avec les differents modes sans echecs et en plus une possibilité de rétablir la dernière session ayant fonctionné.

    13 Novembre 2011 19:40:54

    Précision: l'erreur se situe juste après les vérifications initiales, et la page des options possibles (mode sans echec et possibilité de rétablir) est la page d'erreur.
    a c 614 8 Sécurité
    13 Novembre 2011 19:58:56

    Re,

    Démarre en mode sans échec, OTL.exe doit se trouver sur ton bureau, on l'avait télécharger en premier lieu.

    Fais ceci :

    Lance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    redbook.sys
    lsass.exe
    svchost.exe
    csrss.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    13 Novembre 2011 20:12:29

    OTL ne se lance toujours pas... L'erreur est la même que celle que je t'ai déjà indiqué plus haut.

    Merci beaucoup du temps que tu m'accordes.
    a c 614 8 Sécurité
    13 Novembre 2011 21:45:30

    Re,

    Fais ceci s'il te plait :

    (en mode sans échec donc, au besoin, copie le fichier sur le pc connecté et transfère)

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    13 Novembre 2011 22:08:58

    Les scanneurs ont détecté qu'antivir est activé et que c'est à mes risque et périls d'appuyer sur ok pour continuer. Je pensais l'avoir desactivé vu qu'il n'est pas affiché en bas à droite pret de l'horloge. Comment etre sur de l'avoir desactivé avant d'appuyer sur ok ?
    a c 614 8 Sécurité
    13 Novembre 2011 22:20:41

    Re,

    Tu es en mode sans échec ou ne mode normal ?

    Il ne devrait pas être actif en mode sans échec.
    Normalement pour désactiver le guard d'Antivir, il suffit de faire un clic-droit sur le parapluie à côté de l'horloge et décocher "activer Antivir guard"

    Sinon tant pis, lance CF quand même.
    13 Novembre 2011 22:25:55

    Oui sans echec et c'est ce qu'il me dis. ok je le lance
    13 Novembre 2011 22:38:47

    Re,

    On m'a demandé d'installer la console de récupération. Chose que j'ai accepté seulement une connexion internet était indispensable, que je n'avais pas. Du coup tout a été abandonné. J'ai voulu redémarrer l'ordinateur en mode sans échec avec prise en charge réseau pour avoir internet, ce qui était impossible. A présent je ne peux meme plus démarrer en mode sans echec (meme sans réseau...)

    a c 614 8 Sécurité
    14 Novembre 2011 11:08:30

    Re,

    Ce n'est pas normal s'il n'a rien fait que tu ne puisse plus démarrer en mode sans échec ...

    Peux démarrer en "invite de commande" ?
    14 Novembre 2011 12:10:57

    Pour des raisons que j'ignore, le fait que ma clé usb était branché empechait le mode sans echec de démarrer. Je l'ai débranché et j'ai désormais accés au mode sans échec. Je fais quoi à présent?
    a c 614 8 Sécurité
    14 Novembre 2011 14:02:04

    Re,

    On va installer manuellement la console de récupération :

    Démarre en mode sans échec, puis insère ton CD-rom Windows XP

    Puis fais ceci :

    Démarrer -> exécuter
    (si exécuter n'apparait pas : tous les programmes -> accessoires)

    dans la boite de dialogue tape exactement ceci :

    [b]d:[/b]\i386\winnt32.exe /cmdcons
    en admettant que d: soit la lettre de ton lecteur cd, sinon met la bonne lettre (e: ou f:, etc ...)

    Valide avec "entrée"
    Laisse le processus se dérouler en acceptant les avertissements.

    Si tu obtiens l'erreur :
    Citation :
    Le programme d'installation ne peut pas continuer car la version de Windows installée sur votre ordinateur est plus récente que celle présente sur le CD.


    Tape alors cette commande plutôt :

    Citation :
    c:\i386\winnt32.exe /cmdcons
    (si c: est le disque où est installé windows, sinon modifie en conséquence)


    Si c'est ok, redémarre sans le cd puis relance la procédure avec Combofix.
    Si non, viens me dire le problème.
    14 Novembre 2011 15:04:24

    Re,

    Deux remarques préliminaires:

    Tout dabord je peux essayer éventuellement de démarrer en mode sans échec avec prise en charge réseau pour pouvoir avoir accès à internet et installer la console de récupération avec comboFIX.

    De plus je t'ai dit que j'avais un CD Windows XP familiale SP2 or il s'avère que je me suis trompé, j'ai un CD Windows XP professionnel SP3 (sur mon pc est installé XP familiale SP3), cela va il changer quelque chose à la démarche que je dois suivre?

    Merci encore de ton aide
    a c 614 8 Sécurité
    14 Novembre 2011 16:24:47

    Re,

    Alors oui tu peux tester en mode sans échec avec réseau pour CF, mais autant l'installer avant, au moins ce sera fait et cela en moins à télécharger.

    C’est encore mieux si tu as le cd avec la bonne version de SP ;)  (surtout que ça nous servira après au besoin)
    Fais la procédure, la première manip devrait marcher donc.
    14 Novembre 2011 18:04:05

    Bonne nouvelle: l'installation de la console de récupération permet à mon ordinateur de démarrer de façon normal. Dois je lancer CF malgré tout? En mode sans echec ou en mode normal cette fois?

    Merci!
    a c 614 8 Sécurité
    14 Novembre 2011 18:45:38

    Re,

    Heuu ok, il est zarbi ton pc :lol: 

    Oui alors fait en mode normal s'il te plait ;) 
    a c 614 8 Sécurité
    14 Novembre 2011 21:45:40

    Re,

    Hé bien, je suis presque étonné de rien voir de plus que ça sur ce scan, c’est bien et encourageant, on avait déjà fait un gros ménage avec OTLPE.

    Pour suivre :

    1) Télécharge CleanX-II (de sUBs) sur ton bureau.

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

    Purge ta restauration système :

    XP : http://www.inforumatique.fr/forum/la-restauration-du-sy... (Fin du tuto)

  • Double clique sur CleanX-II.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur CleanX-II.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Valide le message d'avertissement
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!! (Cela peut prendre plusieurs minutes)

    Note : une erreur va s'afficher avant la fin du scan, c'est normal

  • Lorsque l'analyse est terminée, fais ceci pour faire apparaitre le rapport :
    -> Démarrer
    -> Exécuter
    -> tape exactement : %temp%/report.txt
    -> Valide avec "Entrée"

  • copie-colle son contenu dans ta prochaine réponse.


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    14 Novembre 2011 22:07:41

    Je ne trouve pas l'outil "restauration système" sur mon pc... serait tu où il se trouve exactement?

    De plus sur le tuto, je dois uniquement suivre l'étape "créer un point de restauration" c'est exact?

    Merci
    a c 614 8 Sécurité
    14 Novembre 2011 22:18:32

    Re,

    Non tu dois les purger, c'est à dire les suppirmer tous puis en recréer un nouveau, soit l'étape
    Citation :
    Pourquoi et Comment purger les points de restauration :


    Il y est aussi indiqué comment accéder aux paramètres de la restauration système :
    Citation :
    - Positionnez-vous sur le Panneau de configuration

    - Sélectionnez l'icône Système

    - Sélectionnez l'onglet Restauration du système


    Un raccourci clavier est possible aussi :
    Touche "Windows" (à gauche de la barre d'espace) + touche "Pause" (en haut à droite)
    14 Novembre 2011 23:42:10

    Re,

    Voici le rapport cleanX

    #######################################################################

    Brontok Worm Removal Tool - (Version - 06.09.17B)
    by sUBs

    #######################################################################

    Current date: 14/11/2011 Current time: 22:33:57,84

    === PRE RUN ANALYSIS ===================================


    === POST RUN ANALYSIS ==================================



    NOTE
    The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
    22:45:19,78

    ======================================================


    par ailleurs, TDSSkiller ne se lance toujours pas.

    Enfin, Malwarebyte's était déjà installé sur mon ordi et les mises à jours ne fonctionnent pas (le chargement plante à 100%) et étant donné que j'avais déjà fait une analyse infructueuse avant hier, je n'ai pas jugé nécéssaire d'en refaire une.

    Merci
    a c 614 8 Sécurité
    15 Novembre 2011 14:41:54

    Re,

    Supprime ta version actuelle de TDSSKiller et reprend celle-ci, directement exécutable, dis-moi s'il y a du mieux :
    http://support.kaspersky.com/downloads/utils/tdsskiller...

    Suis la même procédure que décrite.

    Si pas mieux, fait ceci :
    Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et poste son contenu dans ta prochaine réponse.

    Pour Malwarebyte's :

    Télécharge cette mise à jour manuelle :
    http://data.mbamupdates.com/tools/mbam-rules.exe

    Double-clique pour la lancer, cela se fait tout seul (MBAM doit être fermé)

    Puis lance le scan suivant ma procédure décrite au dessus.

    :jap: 
    15 Novembre 2011 20:07:53

    Précision: le mode normal étant anormalement lent, l'analyse malwarebyte's a été faite en mode sans echec
    a c 614 8 Sécurité
    15 Novembre 2011 21:26:43

    Re,

    Peux-tu à chaque fois s'il te plait me préciser pourquoi un outil n'a pas fonctionné :
    - erreur ? si oui laquelle
    - pas de lancement.
    - etc ...

    Les analyses sont à effectuer au possible en mode normal, car ils sont optimisé pour ce mode ...


    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    16 Novembre 2011 12:41:43

    Re,
    Désolé...
    Les erreurs pour tdskiller et aswmbr étaient que les logiciels ne se lançaient pas.

    Pour Gmer, dès le départ j'ai une erreur "impossible de créer une clé stable sous une clé parental volatile". J'ai validé par ok et lancé le scan en suivant ta démarche. Cependant, une fois l'analyse terminé (plus aucun fichiers ne défilent en bas) le sablier apparait (sans le curseur), je n'ai rien touché pendant 2h sans que rien ne se passe. J'ai réessayé ce matin et idem...

    Merci
    a c 614 8 Sécurité
    16 Novembre 2011 14:23:43

    Re,

    Mouais le système semble assez instable quand même ...

    Fais ceci :

    Suis ce tuto pour vérifier et réparer au besoin les fichiers essentiel du pc :
    http://forums.cnetfrance.fr/topic/243-sfc-scannow-verif...

    Ton cd pourrait être demandé pendant la manipulation.

    Une fois terminé, fais ceci :

    Télécharge RstAssociations (de Xplode ) sur ton bureau.

  • Double-clique sur le fichier pour le lancer.
  • Coche les cases "exe" et "com"
  • Clique sur "Restaurer"

  • Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse

    Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"

  • Ferme l'outil.

    Puis, retente Gmer, si pas mieux, TDSSKiller.
    Donne-moi les résultats et/ou difficultés.

    :jap: 
    a c 614 8 Sécurité
    16 Novembre 2011 21:35:29

    Re,

    Ahyaaa je le savais qu'il se cachait :D 

    Citation :
    20:12:34.0515 2140 MBR (0x1B8) (6257802b4ad42cc3c3b3a37fcfed8a9f) \Device\Harddisk0\DR0
    20:12:34.0515 2140 \Device\Harddisk0\DR0 ( Rootkit.Boot.SST.a ) - infected
    20:12:34.0515 2140 \Device\Harddisk0\DR0 - detected Rootkit.Boot.SST.a (0)


    Bon on avance, on avance.

    Comment se comporte le pc maintenant ?

    Niveau mise à jour et parefeu, y'a-t-il du mieux ?
    16 Novembre 2011 21:50:14

    Re,

    Le pc a l'air d'aller beaucoup mieux, cependant j'ai l'impression qu'un processus est toujours actif étant donné que quand je regarde les performances dans le gestionnaire des tâches je suis quasiment tout le temps a 100%...

    Je ne comprends pas grand chose aux rapports, pourrais tu m'expliquer ce qui a été découvert depuis le début?

    J'ai réussi à réaliser une mise à jour windows depuis bien longtemps en tout cas!

    Merci
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS