oGu

Salut! Pour le zip dont tu me parles ("Zip ==>Le mod deezire pour bfme2 (que je n'ai d'ailleurs jamais utilisé)."), uploade-le sur ce site puis envoie moi le lien par mp s'il te plaît (pense à lui donne rune durée de vie de quelques jours, par défaut le fichier est supprimé au bout de 30 minutes!): www.senduit.com On poursuit, nos recherches et nos développeurs ont bien fait avancer la lutte contre ton malware, j'espère qu'on en viendra à bout : par contre il faut repartir de zéro (pas tout à fait , mais presque!) et utiliser de nouveaux outils créés pour l'occasion. Tu veux qu'on essaie, ou tu préfères formater? A+!

On y retourne? Les équipes de helpers ont pas mal avancé sur le virus dont tu es victime, donc j'ai maintenant bon espoir qu'on lui fasse la peau : néanmoins il est tellement coriace qu'il est possible qu'il faille formater : aussi tu as le choix : soit on sauvegarde tes données (tu l'as déjà fait je crois) et on formate pour réinstaller XP et tout recommencer à zéro. Soit on continue de se battre contre ce rootkit. Tout dépend du temps que tu as , de l'énergie que tu es prêt à investir, etc... Perso j'ai bien envie de continuer, mais c'est parce que le sujet m'intéresse ! A+

RE! On reprend là où on en était alors. Poste-loi un nouveau rapport RSIT + : GMER Télécharge Gmer sur ton bureau en cliquant sur cette image: Déconnecte toi d'internet et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe Clique sur l'onglet "rootkit" A droite, coche Processes, Files , modules, Registry et Services uniquement. Clique sur "Scan" A la fin de la recherche, lorsque le scan est terminé, clique sur Copy. NB : si ça dit Gmer hasn't found any system modifications, c'est qu'il n'a rien trouvé, donc pas de rapport à copier. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton Bureau et copie/colle son contenu dans ta prochaine réponse.

Yo! Pour le ghost, tu dois me dire : ton disque C:\ est plein à hauteur de 70 GO : c'est beaucoup : as-tu des mp3, photos, divX sur ce disque? si tu as un deuxième disque dur (externe ou interne) ? si oui, quelle est la taille de l'espace disque libre sur ce second disque ? as-tu un défragmenteur autre que celui embarqué d'origine dans XP? En fonction de ces paramètres, je te guiderai si tu veux. Oui, on dirait un problème matériel, au niveau de la ram peut-être : ce message est-il réapparu? Si oui, essaie de noter précisément ce qu'il indique. HIJACKTHIS Dans ton menu Démarrer, clique sur "Exécuter" Dans la fenêtre d'invite qui apparaît, copie-colle cette ligne: Valide avec "OK" HijackThis renommé se lance: clique sur "Do a system scan only" Coche la case devant les lignes suivantes : O2 - BHO: (no name) - {72ED067B-303D-48A2-8211-AFD8D98BE44A} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O2 - BHO: (no name) - {CAE07211-9B79-4392-B6D6-59C7800ECD9F} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose /waitstart O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe Puis clique en bas sur "Fix Checked" SUPPRIMER UN SERVICE Dans le menu Démarrer, clique sur "exécuter" Saisis cmd et valide avec "ok" Dans l'invite qui s'ouvre, copie et colle cette ligne sc stop gusvc [*] Valide avec ENTREE [*] Copie-colle maintenant cette commande dans la fenêtre: sc delete gusvc [*] Valide avec ENTREE [*] Redémarre REGFIX Copie ce code: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard] Colle-le dans ton bloc-note Enregistre-le sur ton bureau sous le nom: pi2srv.reg (/!\ l'extension .reg est importante) Clique-droit sur ce fichier Sélectionne "Fusionner" Répond "Oui" au message d'alerte. Fais redémarrer ta machine. Elle sera maintenant propre (on est assez loin dans la finition ^^) . Je te donnerai quelques conseils de sécurisation, même si le duo Antivir/WinDefender est pas mal du tout. Ensuite, on fera un ghost de ta aprtition système au cas où !

Yo! Je ne t'ai pas oublié, j'attends juste d'avoir un peu de temps : demain peut-être, lundi certaienemnt. Désolé et merci de ta patience! Bonne soirée.

Cool! Que veux-tu dire par "j'arrive pas à ouvrir mes dossiers" ? On reprend demain alors ! Bonne soirée!

Salut OumHilal! J'imagine que le boulot a repris ses droits ! Si jamais cette syntaxe ne marche pas, nous avons encore deux cartouches, l'une d'entre elles atteindra bien la cible. Tiens-moi au courant! Bye

Ouf! Je te donne la suite demain, on a encore du pain sur la planche, et je ne suis pas très confiant tant l'infection est coriace! Si tu as du temps devant toi, sauvegarde tes documents importants, sur DVD ou disque dur externe, dans l'hypothèse où il faille reformater.

Re! Dis "oui" au remplacement d'atapi. Puis essaie avec cette syntaxe, il y en a forcément une qui passera (il faut trouver la copie de pciide en fait) copy c:\windows\system32\dllcache\pciide.sys c:\windows\system32\drivers\pciide.sys Puis valide avec Entrée. En cas de nouvel échec, essaie celle-ci : copy c:\i386\pciide.sys c:\windows\system32\drivers\pciide.sys Puis valide à nouveau avec Entrée. Je cherche une solution pour se procurer légalement une alternative au CD d'installation XP.

Rien ne presse, on attendra ton retour!

Non, pas dans l'immédiat : l'idée à terme est de récupérer ces virus pour les regarder de plus près. A ce propos, si tu n'as pas encore vidé ta Corbeille, merci de mettre de côté puis de zipper avec mot de passe ces fichiers-là (ils sont actuellement dans ta Corbeille) : Gpcrack.exe GPOLICE\CRACK.EXE Total Annihilation-Kingdoms-crack.zip Je te demanderai plus tard de me les uploader.

Yo! De quel zip parles-tu? Quels sont les fichiers restants?

Non, tu ne peux pas virer l'AV et garder le reste à ma connaissance! Faut tout supprimer. De toute façon Antivir + Online Armor feront mieux que Norton.

Ben non, le rootkit est encore en activité, dans me Master Boot Record. Et tu as vu ce qu'il s'est passé quand on s'est attaqué aux drivers que tdss semble utiliser... DESINSTALLER NORTON Télécharge Norton Removal Tool sur ton bureau Lance-le ATTENTION: cet outil désinstalle tous les produits NORTON: assure-toi que ce PC ne comporte pas des logiciels Norton que tu souhaites conserver, autre que l'antivirus (ex: Norton Ghost, Norton Commander...) Suis les instructions Redémarre l'ordinateur INSTALLER ANTIVIR Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection). Télécharge Antivir en cliquant sur l'image: Installe-le Configure-le en suivant le tuto de Falkra PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre: Antivir te demande ce qu'il doit faire du fichier infecté. Choisis Déplacer en quarantaine puis clique sur OK. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller. Mets-le à jour puis lance une analyse complète. Poste le rapport obtenu stp. Pour le firewall, j'utilise Online Armor Free, qui est très correct : http://www.libellules.ch/dotclear/index.ph...line-Armor-free Mais comme c'est le cas pour les firewalls modernes, il embarque un HIPS (désactivable néanmoins), et c'est ça qui fait sa force : mais comme tous les HIPS, il faut savoir l'utiliser...

Essaie ceci, toujours en Console, quand t uauras le temps : COPY c:\windows\ERDNT\cache\pciide.sys c:\windows\System32\Drivers\pciide.sys Valide avec Entrée EXIT Valide avec Entrée

Dans ce cas je vais tâcher de trouver une autre solution.

Arf, c'est toujours le problème avec les nouveaux PC qui refusent de fournir un CD (afin de lutter contre le piratage, tu parles!). Le CD SP1 n'ira pas : il faut un SP2. Peux-tu t'en procurer un ?

Alors : la vaccination remplace le fichier autorun lié au malware (ce fichier permet au virus de se lancer tout seul à l'ouverture du support USB) par un autorun sain et très protégé. En contrepartie, la clé ne se lance plus seule à son introduction ; il faut aller la chercher dans le Poste de travail. Donc, peu importe que USBFix n'ait pas supprimé l'autorun. Par contre, assure-toi qu'à l'ouverture de ce lecteur, chumanitutankas.exe ne se lance pas (a priori, il n'est plus là) si tu m'as bien suivi, tu verras qu'en introduisant ta clé sur un PC infecté, le malware ne pourra pas se copier correctement sur ta clé, vu qu'il ne pourra pas modifier l'autorun à sa convenance. Au pire, tu te retrouveras avec un malware incapable de se lancer (sauf si tu double-clique dessus^^) Lis cet article de Gof si ça t'intéresse (pas totalement à jour, il est en train de bosser dessus) : http://forum.zebulon.fr/index.php?autocom=...p;showentry=540 le pare-feu XP est suffisant, à moins que tu sois prêt à apprendre à utiliser un pare-feu HIPS -plus performant, mais plus compliqué à prendre en main, et de toute façon trop dangereux à utilsier sur une machine encore infectée. On verra ça plus tard si on arrive à nettoyer ton PC. tu peux remplacer Norton par Antivir : veux-tu que je te poste la procédure détaillée pour cette opération? Souvent Norton se désinstalle mal, donc il y a des astuces à mettre en oeuvre (qui sont simples)

Salut! Ok, je pensais que tu avais oublié le D dans la syntaxe! On va faire autrement et réparer ton Windows avec le CD d'installation : as-tu un CD XP Home (ou Family) SP2? Même si ce n'est pas le tien, ça n'a aps d'importance, vu qu'on ne va pas installer Windows, mais simplement le réparer.

Ce n'est pas C mais CD ! La commande CD est disponible, elle . Il faut être très vigilant en recopiant les lignes, surtout pour les espaces. Peux-tu réessayer?

Re! Supprime ces cracks : C:\Documents and Settings\Chumanitutankas\Mes documents\Games\G-Police\GPCRACK\Gpcrack.exe C:\Documents and Settings\Chumanitutankas\Mes documents\Games\G-Police\GPOLICE\CRACK.EXE C:\Cavedog\Kingdoms\Total Annihilation-Kingdoms-crack.zip USBFIX Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc. Relance USB Fix et choisis cette fois l'option 2, valide avec la touche Entrée. Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. Le nettoyage va prendre quelques minutes... Appuies sur OK sur la fenêtre d'informations. Le fix peut avoir besoin de redémarrer l'ordinateur, un message t'en avertit, tu dois donc appuyer sur une touche. Au redémarrage, le fix se relance... laisse l'opération s'effectuer. Un rapport de nettoyage est proposé... appuies sur une touche pour ouvrir ce rapport. Colle le rapport ici stp. Ensuite, vaccine tes clés USB et ton PC contre les worms autorun en utilisant ce logiciel : http://www.libellules.ch/dotclear/index.ph...nda-USB-Vaccine Il te suffit de cliquer sur "Vaccinate Computer" puis de cliquer sur "vaccinate USB" en choisissant chacun de tes support dans le menu déroulant. Pour la suite, à l'heure actuelle je (on!) ne peux pas te répondre : sache que nous sommes plusieurs à travailler sur des sujets similaires, qui avancent peu et nous font faire du souci...Je n'ai jamais galéré autant sur un sujet de désinfection! Dès que le brainstorming a donné des pistes intéressantes, je te préviendrai. Bye!

Salut! ESET n'a rien mis à jour d'intéressant en effet...cela devient désespérant !! On va nettoyer les clés pour que tu ais la paix en attendant la suite : USBFIX Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc. Télécharge USBFix de C_XX & Chiquitine29 sur ton Bureau en cliquant sur cette image : Double-clique sur le fichier pour l'installer. Double-clique sur le raccourci pour exécuter l'outil Sélectionne 1 puis laisse l'outil travailler Poste le rapport stp.

Salut! C'est bien ce que je craignais, quand j'ai vu que le driver pciide avait été supprimé par ComboFix (le fichier est-il infecté?). Pour info tu es le troisième à qui ça arrive, et c'est très probablement lié au rootkit...On va tâcher de réparer ça : Redémarre (façon de parler !) ton PC et sélectionne la Console de Récupération dans le menu, grâce aux flèches de ton clavier Une fenêtre apparait, te demandant de choisir sur quel Windows démarrer : en général, c'est sur le premier (C:\Windows) : il te faut alors saisir le chiffre 1 et valider avec Entrée : Si tu n'as pas de mot de passe administrateur (en général, personne n'en met), n'indique rien et contente-toi de valider à nouveau avec Entrée. Autrement, saisis ce mot de passe avant de valider (ATTENTION : ce mot de passe n'a rien à voir avec ton mot de passe de session) La Console démarre : après le curseur, recopie cette ligne : CD ERDNT puis valide en appuyant sur Entrée. Saisis ensuite cette ligne : BATCH CFrecovery.bat puis valide en appuyant sur Entrée. Saisis ensuite cette ligne : CD ..\System32\Drivers puis valide en appuyant sur Entrée. Saisis ensuite cette ligne : COPY ..\..\..\QooBox\Quarantine\C\Windows\System32\Drivers\pciide.sys.vir pciide.sys puis valide en appuyant sur Entrée. Saisis ensuite cette ligne : COPY c:\windows\ERDNT\cache\atapi.sys c:\windows\System32\Drivers\atapi.sys puis valide en appuyant sur Entrée. Saisis ensuite cette ligne : EXIT et valide avec Entré. Normalement, le PC devrait rebooter correctement.

Alalalala! On va y arriver, faut pas lacher! Essaie ceci (je rajoute Entrée quand il faut taper sur la touche, c'est plus simple comme ça) : CD C:\WINDOWS\SYSTEM32\DRIVERS\ ENTREE REN C:\WINDOWS\SYSTEM32\DRIVERS\pciide.sys.vir pciide.sys ENTREE EXIT ENTREE

Non, je n'ai rien oublié, à ma connaissance en tout cas... Il faut bien laisser un espace entre pciide.sys.vir & pciide.sys, puis taper sur Entrée après avoir écrit pciide.sys (c'est à dire l'intégralité de la dernière ligne, quoi). Cela permet en fait de renommer pciide.sys.vir en pciide.sys tout court. Là, t uas du seulement copier le fichier .vir, sans le renomme, donc ça ne suffira pas. Et oui, il faut laisser les .../ Réessaie pour voir??