zone amorcage infectée boo/sinowal

[le gazou]

Bonjour
le pc de mon fils est infecté dans la zone d'amorçage d'après antivir qui ne peut rien faire. Je joins le rapport RSTI.
Merci de m'aider une fois de plus à faire le nécesaire.
Merci pour votre aide précieuse.
-----

[yoda1234]

Bonjour,

il manque le fichier nommé "Info" qui se trouve en C\RSIT

[le gazou]

Bonjour

pardon, comme ce fichier ne s'ouvre pas automatiquement j'ai oublié...
voilà je le joins.
Merci pour votre aide précieuse.

[b marlow]

Salut,
Télécharge et enregistre mbr.exe de Gmer sur le bureau.

Ferme le navigateur et tous les programmes ouverts
Désactive tous les logiciels de sécurité antivirus antimalwares spybot etc

- Double-clique sur mbr.exe.
- Un rapport sera généré : mbr.log
- Poste le contenu de ce rapport

[A voir en vidéo sur Futura]

[le gazou]

bonsoir

voilà le rapport demandé, cela s'est fait trés vite j'espère que vous avez les renseignements recherchés.
Merci pour votre aide précieuse.

[b marlow]

rien à signaler dans le log, poste le rapport AntiVir.

[le gazou]

voilà je viens d'effectuer le scan avec antivir en "mode sans échec" pour éviter les "plantages". Oui car c'est cela le problème de ce pc c'est qu'il se "plante", en d'autres termes il s'arrete on ne sait pourquoi et là il n'y a plus qu'à maintenir le bouton de mise en route appuyer assez longtemps pour qu'il se coupe....
Je joins le fichier de rapport.

Merci pour votre précieuse aide.

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[le gazou]

Bonsoir
j'ai effectué la manip demandée. J'ai lancé combofix et oublié le pc .... Je suis revenu le pc était éteint de façoon bizard, mais cela on a l'habitude... j'ai donc appuyé longtemps sur le bouton marche resté allumé et ainsi couper l'alimentation. Il est reparti normalement. Là il m'a fallu récupérer le fichier, rien d'accessible facilement, j'ai donc fait une recherche sur "combofix" et là j'ai trouvé le fichier text demandé que je mets en pièce jointe, mais ce qui est curieux c'est que lors de la recherche il tournait en boucle dans le dossier windows ... j'ai donc dû arrèter la recherche pour en sortir. Je voulais vous le signaler car cela n'est pas normal!

Merci pour votre aide précieuse.

[b marlow]

Télécharge et installe >UsbFix< de C_XX & El Desaparecido

Branche tes sources de données externes à ton PC : clé USB,
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

[le gazou]

Bonjour

voilà j'ai fait la manip. Je joins le rapport.

Merci pour votre aide précieuse

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

KillAll::
 
MBR::
 
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KAVSYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KAVSYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KAVSYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KAVSYS]
 
File::
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[le gazou]

Bonsoir

j'ai fait la manip demandée mais cela ne s'est pas fait simplement. Comme indiqué cela ne marchait pas. Je suis passé par mode sans échec et il m'a fallu désinstaller mon antivirus car même désactiver combofix le détectait!
Enfin après tout cela combofix a pu travailler et j'ai vu apparaitre les différentes étapes qui s'exécutait avec succès. Je joins le rapport généré.

Suite à tout cela j'ai réinstallé antivir et fait un scan. Il me trouve encore des virus, je vous joins aussi le rapport.

Où en suis je? Suis je maintenant nickel!

Merci pour votre aide précieuse.

[b marlow]

AntiVir a détecté les éléments en 40aine dans combofix, pas de danger

Ceci va supprimer ces traces de dossiers infectieux et les outils de la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[le gazou]

bonsoir

voilà c'est fait, le rapport est en pièce jointe.

merci pour votre aide précieuse

[b marlow]

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

[le gazou]

Bonsoir

merci pour votre aide précieuse comme toujours. Le pc marche maintenant très bien.
je vais continuer à lire ce que vous préconiser... j'ai déjà créer un compte limité.

Je ne vous quitte peut être pas dés maintenant car mon autre fils a aussi qqs choses sur son pc, mais je vais attendre et laisser la place à d'autres.

Merci encore pour votre aide précieuse et trés compétente!

[le gazou]

Bonjour

un dernier message car j'ai fait tout ce que préconisait b marlow et maintenant il y a des problèmes avec les navigations. J'ai crée un compte limité. J'ai mis à jour grâce au lien hippo... en faisant tourné le logiciel préconisé pour rechercher les mise à jour nécessaires sur le pc... cela dans le compte administrateur....
J'ai un problème d'affichage, je suis sur un petit écran et je n'arrive pas à avoir la mise en page comme avant, par exemple là je suis cadré sur le message
De plus les mises à jour se sont faites en anglais.
Pouvez vous m'aider à rétablir le tout en français ce serait mieux!

Merci pour votre aide précieuse.

[b marlow]

Sur la page du tuto d'Update Checker tu as pourtant ceci:

Pour être sur d'avoir vos logiciels mis à jour en français, il est préférable de noter les noms des programmes de la liste et de vous rendre sur le site de l'éditeur pour les télécharger.

mais bon ce n'est pas très grave, pour ta mise en page tu as du faire la maj du pilote de ta carte
graphique, tu dois avoir une icône à coté de l'horloge pour gérer les options, cherche à y trouver
et changer la résolution pour l'adapter à la taille de ton écran. Un petit topo ici.