ah, les vilaines bébétes !

[vousm]

Bonjour,

Mon PC manifestant des ralentissements indéniables, et depuis peu des redémarrages intempestifs, j'ai mis en action :
- ATF cleaner
- puis Malware anti malware, en mode sans échec, après avoir fait la mise à jour.

4 vilaines bébêtes ont été supprimées, et le PC a retrouvé un peu de vigueur.

Mais je crois que je n'ai pas fait le ménage espéré.

Puis je porter à votre attention
- le rapport Log de rsit en pièces jointes.
- le fichier info text

Dans l'espoir de votre éclairage,

merci beaucoup.
-----

[invite42302d4e]

Bonsoir et bienvenue sur Futura-Sciences

Apriori rien de méchant là dedans, mais on va pousser l'exploration un peu plus loin si tu veux.

Fais cela stp...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

%APPDATA%\Malwarebytes\Malware bytes' Anti-Malware\Logs\*.*
NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
* Comment poster les rapports sur le forum
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

@++

[vousm]

Bonjour,

Merci beaucoup pour ta réponse.
Voici les rapports : je pense avoir suivi tes instructions.

Actuellement, j'observe des redirections intempestives avec Firefox, et des commandes qui ne répondent pas : hier soir, par exemple, impossible d'arrêter le PC par la procédure habituelle : j'ai du éteindre l'alim.

Et des commandes au clavier sur les traitements de texte ( accent circonflexe, par exemple) ont changé.

Et je dois souvent insister pour ouvrir Firefox.

Merci pour ton attention.
@+

[invite42302d4e]

hello,

Finalement tu es sévèrement infecté (au moins deux rootkits )

Surtout en fin de désinfection ne vire pas la quarantaine d'OTL, j'aurais besoin des rootkits pour les faire remonter aux développeurs de Malwarebyte...

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenu du texte ( contenu dans le fichier ataché disponible en bas de ma réponse ) dans la partie inférieure d'OTL "Personnalisation"


* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scanne aller à son terme sans te servir du PC
* A la fin du scanne un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

@++

[A voir en vidéo sur Futura]

[vousm]

quand je clique pour ouvrir le fichier attaché : voici le message qui apparait :
Message vBulletin
vousm, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :

Vous n'avez pas la permission d'accéder à la page que vous essayez d'afficher. Êtes-vous en train d'essayer de modifier le message de quelqu'un d'autre ou d'accéder à des options d'administration ? Vérifiez que vous êtes autorisé à effectuer cette action dans les règles du forum.
Si vous essayez d'envoyer un message, l'administrateur a peut-être désactivé votre compte, ou celui-ci est en attente d'activation si vous venez de le créer, ou de réactivation si vous avez changé votre email, ou encore peut-être de validation par un modérateur.

@+

[yoda1234]

Vide ton cache!

[vousm]

Bonjour

j'ai vidé le cache de Firefox : je ne peux toujours pas ouvrir le fichier voum_fix.txt

@+

[invite42302d4e]

hello,

pas de soucis, je te l'ai mis sur cijoint pour que tu puisse récupérer le texte
http://www.cijoint.fr/cjlink.php?fil...cijYRF53b6.txt

[vousm]

Bonsoir,

Merci pour votre patience, à tous.

voici en pièce jointe le rapport du scan dOTL.

Je n'ai rien fait qui puisse supprimer la quarantaine.

A l'issue de ce scan, j'ai retrouvé l'usage de Firefox

Bonne soirée.

@+

[invite42302d4e]

parfait,

peux-tu refaire un scanne OTL comme tu l'as fais la première fois afin que je contrôle si il reste des éléments infectieux.
Note: cette fois ci tu n'auras pas de rapport "extrat.txt", mais juste "OTL.txt"

@++

[vousm]

Bonjour

voici le rapport OTL.txt du scan que j'ai fait aujourd'hui.

Petite description du fonctionnement global :

- à l'allumage aujourd'hui, le système est resté bloqué. J'avais juste la photo du bureau (papier peint). J'ai du relancé (reset) pour que Windows charge
- Firefox ne s'ouvre pas toujours
- quand firefox ne fonctionne pas, thunderbird ne s'ouvre pas non plus

rien d'autre à signaler pour le moment.

Pour ma culture, je vais m'instruire sur les rootkits.

@ +

[invite42302d4e]

Bonsoir,

mouai,l'infection c'est régénérer..

Sauvegarde tes documents importants avant de continuer et assure toi d'avoir de quoi restaurer/re-formater (CD de Windows, CD de restauration usine etc...) au cas où car ton système est vraiment très instable.

ensuite, fais cela stp...

Désactive temporairement ton Anti-virus

• Télécharge Combofix sur ton Bureau (et pas ailleurs)
• Clic-droit dessus et choisis "Exécuter en tant qu'administrateur" pour le lancer et suis les instructions.
• Patiente le temps du scanne( ça peut prendre facilement 30/45 minutes )

N'arrête surtout pas le scanne et ne te sert pas du PC durant le scanne

• A la fin du scanne, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
• redémarre impérativement ton PC

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@++

[vousm]

Bonsoir,

sans anti virus, j'ai téléchargé combofix, mais pas possible de l'enregistrer. Exécution directe à partir de la boite de téléchargement de forefox.

Puis, blocage, avec message de téléchargement corrompu.
Je redémarre,
je télécharge combofix, au total 4 fois. donc, dans la boite de téléchargement, nom du fichier : combofix.4. Puis un message apparaît, indiquant que je dois changer de nom, puisque 2 fichiers ne peuvent porter le même nom !!!

J'essaie avec IE

A suivre...

[invite42302d4e]

attention, combofix doit impérativement être exécuter depuis ton bureau...surtout pas depuis la boite de dialogue...

Si tu n'y arrive pas renomme le comme cela...

Faist un clic-droit sur Combofix.exe ,choisis "enregistrer la cible du lien sous..." et renomme le en machin.exe pour l'emplacement choisie ton bureau et cliques sur "enregistrer"

[vousm]

je viens de l'enregistrer avec IE sur le bureau.

Je passe à l'action, sans anti virus,
et je poste le rapport.

bonne fin de soirée.

[vousm]

Bonjour,

je ne comprends pas !
j'ai posté le rapport du scan fait avec combofix hier soir, et après l'avoir vu à cette page, aujourdhui, il n'y est plus !

Je suis peut être en overdose de PC...!

Donc, je renouvelle :
voici le rapport de combofixe.

au cours du scan, il s'est arrêté, avec message indiquant qu'un module de Windows était manquant pour continuer. Puis il a continué ! et s'est arrêté encore, pour signaler la détection d'un rootkit (beurk !), et a finalement terminé...

Petit rapport de fonctionnement :
Firefox ne s'est pas ouvert. Il m'a fallu redémarrer.
Le PC est nettement plus rapide...Mais j'ai l'impression qu'il y a encore des bébêtes

Merci beaucoup.
@+

[invite42302d4e]

hello,

effectivement ce n'est pas encore clean, je pense que combofix a détecté un fichier système patché et qu'il ne l'a pas remplacé car la console de récupération Windows n'est pas installer sur ton pc, on va donc l'installer et relancer combofix juste derrière.

pour cela...

Cliques sur le lien ci-dessous...
Microsoft Windows XP Édition familiale SP2

tu seras dirigé sur une page de téléchargement, clique sur le bouton "télécharger" afin de récupérer le package d'installation et enregistre ce fichier sur ton bureau.

Ne modifie pas le nom du fichier surtout!

Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture :



Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'utilisateur Final pour installer la console de récupération Microsoft.

Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport stp.


PS: à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

une fois la console installée, refais un scanne avec combofix et poste le nouveau rapport stp.

[vousm]

la console de récup a été installé, et à la suite, combofix a fait un scan, dont tu peux voir le rapport.

Mais point de fichier appelé exactement CF_RC.txt

ai je bien suivi tes instructions ?

@+

[invite42302d4e]

hello,

tout c'est bien passé, la console est bien installée, je te prépare le script de suppression...

[invite42302d4e]

hello,

c'est prêt, il reste un rootkit sur ton pc et d'autres éléments infectieux.

> crées un nouveau document texte sur ton bureau
> pour cela clic-droit sur le bureau > Nouveau > document texte > copies et colles le contenu du fichier CFsript.txt disponible sur le lien CIJOINT ci-dessous ci-dessous à l'intérieur du document texte que tu as créer.
http://www.cijoint.fr/cjlink.php?fil...cijYyfcQWo.txt

>>> Respectes à la lettre la procédure d'enregistrement suivante,c'est très important

> cliques sur "fichier" > "enregistrer sous..."
> dans la fenêtre d'enregistrement choisis le bureau comme destination > dans type choisis "tous les fichiers" > et dans nom du fichier tape CFScript.txt > ensuite cliques sur enregistrer et fermes le document texte.

> fais un glisser/déposer(clic-gauche enfoncé sur CFScrit.txt et tu fais glisser) de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur cette capture.



> une fenêtre bleue va apparaître >>suis les instructions
> patientes le temps du scan. Le bureau va disparaître à plusieurs reprises,c'est normal!
> ne touches à rien tant que le scan n'est pas terminé
> une fois le scan achevé, un rapport va s'afficher,postes son contenu dans ta prochaine réponse.
> si le rapport ne s'ouvre pas, il se trouve à cet emplacement C:\ComboFix.txt

[vousm]

Suite de l'offensive.

Voici le rapport.

Détails persistants :
- à la fermeture, je dois mettre fin moi même à explorer.exe
- PEV.clxxe est également perturbé.

J'attends la suite de vos instructions, mon capitaine !
Qu'est ce que je fais ?
je sors le lance flamme ?
On les grille tous ?

@+

[invite42302d4e]

hello,

le CFSript n'est pas passer, tu as due faire une petite erreur lors de l'enregistrement du fichier...

Je te le met en téléchargement au format zip...
http://jeanmimigab.perso.neuf.fr/CFscript.zip

1.tu télécharges CFscript.zip sur ton bureau et tu le dézippe.
2.tu doit obtenir un fichier CFscript.txt
3.fais le glisser/déposer de ce nouveau CFsript.txt sur l'icône de combofix pour démarrer les suppressions et poste le rapport obtenu

[vousm]

Bonjour,

j'ai décompressé et enregistré le fichier sur le bureau. Puis, sans autre intervention, j'ai fait glisser le fichier. Combofix a alors démarré. En cours de scan, pancarte : "PEV.clxx.exe a rencontré un problème et doit fermé".

Voici le rapport.

En espérant avoir bien fait.

Merci beaucoup.

@+

[invite42302d4e]

hello,

hum, je comprend mieux, c'est combofix qui est corrompu !!

désinstalle-le de cette manière...

clique sur démarrer >> exécuter et dans la fenêtre qui s'ouvre fais un copier/coller de texte en rouge combofix /uninstall et valide avec OK

ensuite re-télécharge combofix et fais la manip avec le CFScript que je t'ai mi sur cijoint, ça devrait passer

[vousm]

Bonjour,

ce matin, j'ai désinstallé combofix, puis j'ai recommencé toutes les manip, puis je t'ai posté le rapport...qui n'est pas présent sur la page.

J'ai déjà constaté cette anomalie il y a quelques jours.

autres détails.
- Windows est resté bloqué sur la photo du bureau
- lenteur d'ouverture de firefox.

A l'évidence, il y a problème.

Je refais donc un essai :
- re-téléchargement de combofix avec enregistrement sur le bureau
- scan.

Je te poste le rapport, et mes éventuelles observations quand ce sera fini

@+

[vousm]

Pas bon : comme la boite de téléchargement de firefox ne propose pas l'enregistrement des fichiers téléchargés, mais directement l'exécution, impossible d'enregistrer combofix sur le bureau, détail impératif, m'a tu précisé.

Afinc de contourner ce détail, j'ai eu recours à IE, mais aujourd'hui, Il est devenu impossible de télécharger combofix avec IE. Ca merdouille. (Corruption d'IE ?)

Donc, pour pouvoir enregistrer combofix sur le bureau avec Firefox, peux tu m'indiquer les réglages à faire sur firefox. Je vais chercher de mon côté sur les forums.

@+

[vousm]

C'est bon, j'ai trouvé le réglage pour télécharger les fichiers directement à l'endroit de son choix.
c'était facile, j'aurai pu trouver avant. Mille excuses pour cette lourdeur.

Voici le rapport du scan que je viens de faire.

@+

[invite42302d4e]

hello,

Tu as fais une petite erreur, tu n'as pas dézipper le fichier CFScript.zip pour obtenir le fichier CFScipt.txt, tu as fais un glisser/déposé du fichier CFScript.zip au lieu du fichier CFScipt.txt.

Recommence avec le glisser/déposé du fichier CFScript.txt et poste le rapport stp...

@++

[vousm]

oh, mille excuses. J'étais tellement content d'avoir réglé mon problème de téléchargement, que j'ai oublié le reste...

voici le rapport.
@+

[invite42302d4e]

hello, pas de soucis,

par contre j'y pige rien, cette fois ci tu as bien fas le manip et aucunes suppression n'a été effectuées par combofix...possible que ce soit le rootkit qui bloque combofix

Je vais te programmer un exécutable personnalisé qui effectuera toutes ces manipulations de manière automatique par un simple double-clic.

il me faut une ou deux heures, le temps de programmer et faire des tests.

à tout à l'heure