rookit-C:\windows\system32\drivers\as c3550p.sys

[invite98dac02d]

Bonsoir à tous,
Je suis tout nouveau sur ce site et en préambule à mon sujet je tiens particulièrement à féliciter les concepteurs,admistrateurs et autres participants à ce site. Car je suis arrivé ici par hasard à cause d'un problème que je vais évoquer plus bas et ça fait plusieurs heures que je me ballade sur le site en oubliant presque pourquoi j'étais venu tellement j'ai trouvé de choses intéressantes.
Voici ce qui m'amène. Mon antivirus (avast) me trouve à chaque démarrage (depuis deux jours) un rookit qu'il ne peut apparement pas supprimer. J'ai essayé des scans en ligne (bitdefender et panda) pas mieux et même il ne le détecte pas. J'ai lancé les antiespions (adaware et syboot) rien non plus. J'ai tenté l'expérience en mode sans échec avec scan au démarrage. Pas de changements non plus. Mes connaissances en informatique étant malheureusement limitées c'est pourquoi je débarque ici.
Grace à votre topo parfait sur les rapports d'analyses j'ai réussi a générer les rapports joints a ce message.
Alors si quelqu'un peu me venir en aide, c'est pas de refus.
Je précise toutefois que pour l'instant je n'ai aucun symptome visible dans l'utilisation de mon pc.
Et puis soyez indulgent avec le candide que je suis car c'est la première fois que je suis infecté (si c'est réellement le cas) en plusieurs années d'utilisation d'internet. Et j'espère ne pas avoir fait de boulette avec les pièces jointes.
-----

[Cyrrus]

Bonsoir,


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

----------------------------
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse .

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée
Cyrrus

[invite98dac02d]

Bonjour,
Tour d'abord merci pour ta réponse. Les instructions étaient très claires et malgré ma méfiance de nature, j'ai décidé de les appliquer à la lettre.
Première bonne surprise : mon pc n'a pas explosé et mon écran n'est pas devenu tout bleu non plus )
Deuxième bonne surprise dans un des rapport (celui de SDFIX) j'ai vu qu'il avait éffaçé mon malware incriminé.
Maintenant, comme tu as du t'en appercevoir, je suis loin d'être un spécialiste en informatique et la lecture des différents rapports est aussi aisée pour moi que du mandarin du treizième siècle. Je te laisse le soin de me dire si tout à l'air normal.
Pour finir, je précise que le rapport hijacktis je l'ai effectué avant l'utilisation de comboFix. J'ai hésité à en faire un autre après mais j'ai préféré suivre tes instructions qui n'en demandaient qu'un seul après SDFix.
Je suis impatient de lire tes commentaires à la lectures des pièces jointes.
@+

[Cyrrus]

Bonsoir,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Cyrrus

[A voir en vidéo sur Futura]

[invite98dac02d]

Bonjour,
Merci de continuer à me sortir de la mouise.
J'ai suivi tes instructions et j'ai joints le rapport de MBAM. Je ne voudrais pas crier victoire trop vite, mais ça m'a l'air pas trop mal non ?
En attendant de te lire, bonne journée et merci encore grand gourou
@+
gimli2

[Cyrrus]

Bonjour,


Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonnej ournée
Cyrrus

[invite98dac02d]

Bonjour,
Je suis heureux de voir que tu fais tout pour aller au bout des choses. Merci encore. J'ai fait ce que tu préconisais. Au niveau des contrôles active X il n'y avait pas de souci, j'étais bien paramétré comme il faut.
Pour le scan en ligne le rapport est joint (je l'ai zippé car il dépassait la limite en .txt. Je te laisse le soin de jeter un oeil. Tout ce que j'ai pu voir de suspect c'est les lignes suivantes mais ce n'est qu'un avis, je ne suis pas l'expert :

C:\QooBox\Quarantine\catchme20 08-04-14_172829.09.zip/Documents and Settings/FREDERIQUE/Bureau/catchme.zip/asc3550p.sys Infected: Trojan-Proxy.Win32.Saturn.ai skipped
C:\QooBox\Quarantine\catchme20 08-04-14_172829.09.zip/Documents and Settings/FREDERIQUE/Bureau/catchme.zip Infected: Trojan-Proxy.Win32.Saturn.ai skipped
C:\QooBox\Quarantine\catchme20 08-04-14_172829.09.zip ZIP: infected - 2 skipped

Le fichier QooBox, c'est un fichier qui a été créé automatiquement avec l'emploi des différentes applications que tu m'as conseillé pour désinfecter ma machine. Le souci c'est que je ne me souviens plus de laquelle (combofix mais je ne suis pas certain). A l'époque j'avais pensé le suprimé mais j'ai hésité en pensant que c'était utile pour une action future dans tes conseils.

Je te souhaite une bonne soirée et au plaisir de te relire rapidement.
@+

Gimli2

[Cyrrus]

Bonsoir,

En effet qoobox est la quarantaine/backup de combofix. As tu encore des symptômes ?

Bonne soirée
Cyrrus

[invite98dac02d]

Bonjour,

Non je n'ai plus aucun symptôme, tout est ok il me semble. Encore merci de ton aide. Toutes tes explications étaient très claires.
Si je peux t'être d'une quelconque utilité à l'avenir n'hésites pas.
Peux-tu juste me confirmer que je peux supprimer définitivement le dossier qoobox s'il te plait.
Bonne journée.

Gimli2

[Cyrrus]

Bonjour,

-----------

Suppression des outils utilisés

• Télécharge ToolsCleaner sur ton Bureau: ici ou là
  
  
• Clique sur Recherche et laisse le scan se terminer.
• Si tu as Vista fais un clic droit sur ToolsCleaner > Exécuter en tant que..
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

-----------

Bonne journée
Cyrrus

[invite98dac02d]

Bonjour,
Ci-joint le rapport demandé.
Pour ce qui est du dossier de prévention je l'ai déjà parcouru et je l'applique à la lettre. C'est plus difficile quand c'est madame qui utilise le PC....! Mais je veille de mon mieux.
En tout cas merci pour tout, et au plaisir de te relire.
Bonne journée.
Gimli2