Croix blanche sur rond rouge

[Qristoff]

Bonjour à tous,
j'essaie de nettoyer le pc XP d'une copine et je bataille à supprimer un virus qui me ralenti la bête et détourne mon IE7.
Pour la description du malfaisant, j'ai dans la barre de tâche une croix blanche sur un rond rouge et un fond d'écran avec warning, votre pc est infécté, vous devriez utiliser un anti spyware, blablabla...

En regardant sur le web pour ce type de virus, j'ai récupéré malwarebytes, anti-malware et smidfraudfix.
J'ai fait tourner malwarebytes en mode sans echec et internet déconnecté mais il n'arrive pas au bout, à environs 80% du scan, une fenêtre s'ouvre en me disant qu'un service DCOM s'est arreté de façon inattendue et que le pc va redémarrer sur autorité de NT.

Pour le Smitfraudfix, il a trouvé deux trucs mais cela ne change rien en revenant au lancement normal de XP.
J'ai essayé Spybot qui m'en a enlevé aussi pas mal (chevaux de troie et spyware) mais le diable résiste.

Je pensais qu'en utilisant Hitjackthis, vous pourriez m'aider à diagnostiquer le pc mais je ne sais pas interpreter les fichiers rapport. Pourriez vous m'aider ?

En final, je ré-installerais le pc mais je voudrais d'abord le nettoyer pour récupérer les fichiers perso (comptabilité). Je pense que c'est plus sain, je ne voudrais pas "emmener" le diable dans les valises.
Pour la config: XP SP2 passé en SP3 avec le virus présent, Avast 4.8

Merci de votre aide.
-----

[invite9bff601c]

Bonjour,

je ne pense pas que tu es besionde tout réinstaller, je pense que la désinfection peut permettre de retrouver un pc tout à fait sain.

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

[Qristoff]

Bonjour igor,
sympa d'aider un Drômois..
J'ai bien lu les prérogatives, je te ferais passer les rapports ce soir de retour à la casa.

[Qristoff]

Resalut,
Voici donc les fichiers rapports.
Depuis ce soir, j'ai une petite nouveauté au démarrage: ntdll64.exe a rencontré une erreur et doit fermer...

[A voir en vidéo sur Futura]

[Qristoff]

Ce fichier n'est pas sur mon autre pc, j'ai donc renommé ce fichier ntdll64.exe en .jpg et je n'ai plus l'erreur au démarrage.
Mais j'ai toujours ma croix blanche.... j'aurais plutôt besoin de la croix rouge pour le soigner !

[Qristoff]

Bonsoir,
Il n'y a personne qui veuille m'aidez ?
Merci d'avance

[Qristoff]

Est ce que vous arrivez à lire les fichiers que j'ai envoyé car à chaque fois je tombe sur une page du site "Qristoff, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :...."
Dans le doute, je reposte mes fichiers.

[invite9bff601c]

Bonsoir

On se calme et on reste patient, j'ai une vie à côté aussi !

Tu es bien infecté en plus !!

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

[Qristoff]

Salut Igor51,
Désolé d'être apparu comme impatient mais ce n'était pas le cas (je ne comprenais pas pourquoi je n'arrivais pas à lire mes fichiers attachés, mais Gizmo m'a expliqué...), je sais que vous êtes trés solicités et qu'évidemment vous avez des vies. Encore désolé.

Pour le scan avec combofix, je n'ai plus de connexion internet sur ce pc (je fais le transfert de fichiers par clé usb) et je n'ai pas pu faire l'install de la console mais ça s'est bien passé quand même visiblement....
Il y a pas mal de têtes qui sont tombées au cours du scan...

[invite9bff601c]

Bonsoir

C'est pas grave si tu n'as pas installé la console de récupération, est-ce que tu as un CD de WinXP au cas où ?

Ouvre un nouveau document texte et copie/colle ce qui se trouve dans les code à l'intérieur :

Code:

KillAll::

File::
c:\windows\system32\svssccs.exe
c:\windows\system32\rtl60.bpl
c:\windows\system32\Maurice44.jpg.exe
C:\gta.exe
c:\windows\system32\ktqn.exe
c:\windows\system32\gagrfm.exe
c:\windows\system32\akqix.exe
c:\windows\system32\asvvd.exe
c:\windows\system32\nwel.exe
c:\windows\system32\diyr.exe
c:\windows\system32\zsffd.exe
c:\windows\system32\tvcvl.exe
c:\windows\system32\sqpyx.exe
c:\windows\system32\nxgqdda.exe
c:\windows\system32\ynjpdzsk.exe
c:\windows\system32\mpxqcej.exe
c:\windows\005720_.tmp
c:\windows\000001_.tmp
c:\windows\system32\drivers\sffp_mmc.sys
c:\windows\system32\ZDBRGSYS.sys

Enregsitre le en le nommant : CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ps : Est-ce que tu pourras me faire parvenir le QooBox une fois cette opération faite ? (en le zippant par exemple )

[Qristoff]

Bonsoir Igor,
Je n'ai pas de cd XP mais seulement le cd de ré-installation du pc, ça ira ?
C'est quoi le Qoobox ?

[Qristoff]

Voici le fichier généré par Combo (Combo sapin, roi des forêts... allez on destresse un peu,
Pas d'extinctions du bureau...
C'est quoi le fichier Qoobox que tu souhaites ?
Merci encore

[invite9bff601c]

Re,

A la racine de ton disque; tu as un dossier qui s'appelle QooBox à cet endroit
C:\Qoobox

Tu peux me le faire parvenir ?

[Qristoff]

Bonjour Igor,
Voici le repertoire Qoobox.
J'ai été obligé de le tronçonner sinon je n'arrivais pas à l'uploader ! (5,5Mo !)
les fichiers system32_partx étaient placés dans \Quarantine\C\windows\system32
A+

[Qristoff]

Bonjour à tous,
j'ai fait un bon nettoyage sur le pc et il a l'air de tourner mieux mais je voulais savoir s'il est néttoyé et qu'il n'y a plus de risque.
J'ai refait une analyse et voici les nouveaux fichiers
Merci d'avance

[invite9bff601c]

Bonnsoir

Merci pour les fichiers, je les ai récupéré et supprimé car dangeureux.
Télécharge OAD
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :

Code:

winlogon.exe

- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Poste ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

[Qristoff]

Bonsoir,
J'ai relancé un scan avec malware'bytes et maintenant Avast détecte mais ne peut pas supprimer ce qui ce trouve dans c:\Qoobox et dans c:\Volume Information.
je voulais savoir s'il est possible de détruire le repertoire Qoobox ?

[Qristoff]

Bonsoir Igor,
voici le fichier rapport de OAD
J'ai réussi à remettre la connexion internet et la croix rouge a disparue. On a l'impression que ça va mieux mais j'ai un mauvais sentiment...

[Qristoff]

J'ai refait le scan car je me suis aperçu que j'avais tapé winlogon et non pa s winlogon.exe

[invite9bff601c]

Bonsoir

Tu peux supprimer le dossier QooBoox (c:\QooBoox ) c'est la quarantaine de Combofix.

Pour la restauration système, on la supprimera à la fin de la désinfection.
Scan en ligne avec F-Secure (scan de contrôle) :

• Rends toi sur cette page avec Internet Explorer (6 ou 7).
• Clique sur l'icône à gauche du texte :
  
  
• Accepte la License en cliquant sur Accept.
• Installe le Contrôle Active X proposé en cliquant sur Install.
• Clique ensuite sur Full system scan.
• Patiente le temps du chargement du moteur et des bases de signatures.
• Le scan démarre, laisse le faire.
• Clique sur Automatic cleaning, et patiente le temps de la suppression.
• Clique sur Show Report et copie/colle le contenu de la page dans un fichier texte que tu posteras en pièce jointe dans ta discussion.

[Qristoff]

Salut Igor,
Merci d'avoir répondu
comme tu as pu le comprendre, j'intervenais sur un pc moitié pro moitié familliale et pour le coté pro, destiné à la comptabilité, ça s'impatientait un peu et j'ai du prendre une décision...
Aprés les premières manip, le pc semblait un peu plus souple dans le fontionnement et on aurait presuque pu croire qu'il était guéri ! mais un doute persiste toutefois et on ne peut pas avoir la garantie de la virginité !
J'ai donc fait un gros rangement sur le pc et proposé à ma copine de reprendre son pc, de faire ses écritures comptables (elle a un audit bientôt..) et quand tout sera calmer de reprendre son pc pour le reformater et réinstaller.
Il y a t-il un risque en récupérant les données comptables + documents de famille (word, photos, pdf) sur clé usb et ensuite de réinstaller + mise à jour+remettre les fichiers de données ?
Merci

[invite9bff601c]

Bonsoir

Je pense qu'il y a toujours un risque, les infections peuvent passer au travers des pdf par exemple. Ce que tu peux faire: récupérer les fichiers puis scanner la clé avec un antivirus tel que Kapsersky ou Antivir.