Paris_xiii

--------------------------------- Je ne suis plus sur la machine en question... Deja rentré à la maison !

-------------------------------- OK je te remercie encore. Euh... Comment je fais pour indiquer le sujet résolu ?

------------------------------------------- Dernier (j'espère rapport Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 4032 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 24/04/2010 23:25:33 mbam-log-2010-04-24 (23-25-33).txt Type d'examen: Examen rapide Elément(s) analysé(s): 111870 Temps écoulé: 6 minute(s), 50 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) C'est tout bon ? ---------------------------- Derniers évènements indépendants de ma volonté : je dois rentrer chez moi demain et ne pourrai plus intervenir sur cette machine avant quelques semaines... Le PC en question semble stable désormais, je reviendrai vous demander de l'aide si la situation dégénère encore... Encore mille merci pour votre aide efficace

----------------------------- OK relancé cela donne : Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ofrmcs" disabled successfully. Driver "ofrmcs" deleted successfully. Completed script processing. ******************* Finished! Terminate. Pendant ce temps les 48 mises à jour de crosoft essayent de s'installer.... Pas assez de place sur C: je dois faire du ménage.. Une idée sur ce qui s'est passé ? En tout cas, merci pour le temps passé et sur l'expertise !

---------------------------------- Toujours le meme pb avec combofix (tralala) il fait un ecran bleu apres le step 50 et reboot la machine qui a généré une erreur grave captée par Crosoft (pb provoque par device driver) Par contre apres le reboot je peux toujours accéder au site de crosoft et d'avast, trend, kaspersky....

[*]Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse. Après normalement, Combofix ne devrait pas planter. ----------------------------- VOila le contenu du fichier log affiché apres reboot : Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "ofrmcs" disabled successfully. Completed script processing. ******************* Finished! Terminate. Par contre, dans c:\avenger il n'y a qu'un fichier zip (backup.zip) avec un mot de passe et qui contient avenger.txt et backup.reg Info importante, je peux désormais retourner sur les sites Microsoft et remettre à jour Avast !!!! La situation est-elle fixée ou est-ce seulement temporaire ???

Voici le rapport ROOTREPEAL © AD, 2007-2009 ================================================== Scan Start Time: 2010/04/23 22:33 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP2 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xB29A7000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF7A91000 Size: 8192 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB132D000 Size: 49152 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: C:\hiberfil.sys Status: Locked to the Windows API! SSDT ------------------- #: 025 Function Name: NtClose Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99c56 #: 041 Function Name: NtCreateKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99b12 #: 063 Function Name: NtDeleteKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9a0c6 #: 065 Function Name: NtDeleteValueKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99ff0 #: 068 Function Name: NtDuplicateObject Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a996e8 #: 119 Function Name: NtOpenKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99bec #: 122 Function Name: NtOpenProcess Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99628 #: 128 Function Name: NtOpenThread Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9968c #: 177 Function Name: NtQueryValueKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99d0c #: 192 Function Name: NtRenameKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9a194 #: 204 Function Name: NtRestoreKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99ccc #: 247 Function Name: NtSetValueKey Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99e4c Hidden Services ------------------- Service Name: ofrmcs Image Path: %SystemRoot%\system32\svchost.exe -k netsvcs ==EOF==

----------------------------- C'est un fichier BUG.EMF de C:\Program Files\Microsoft Office\Office\Photodraw\Content\Shapes Mais cela fait la même chose avec n'importe quelle recherche... Je crois que l'ajout du "dique" Tralala a qq chse à voir avec ca car quand on l'ouvre on revient sur la liste des disques et ainsi de suite... ce qui fait aussi "boucler" les recherches...

-------- non aucun fichier bug.txt, par contre un comportement etrange de la fonction recherche qui affiche 30 fois le même fichier...

voila le rapport, MBAM n'a rien trouvé à priori... Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 4024 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 23/04/2010 10:02:24 mbam-log-2010-04-23 (10-02-24).txt Type d'examen: Examen rapide Elément(s) analysé(s): 111682 Temps écoulé: 7 minute(s), 43 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté)

-------------- J'ai fait comme tu l'as dit mais je rencontre le meme soucis apres l'étape 50, je vois une phrase du genre "suppression fichier..." et ecran bleu /reboot ! En plus je n'ai pas acces tout le temps à la machine ce qui ne facilite pas le suivi ...

------------------------------------ J'ai relancé Tralala et suivi la progression, en répondant par la négative à la proposition de récupérer une nouvelle version. On arrive jusqu'à l'étape 50, puis ecran bleu et reboot violent de la machine ! toujours aucun fichier log et seulement un "disque" nommé tralala...

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. [*]On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le rapport se trouve dans : C:\Combofix.txt (si jamais). ----------------------------- Bon, alors voila ce qui se passe : J'ai récupéré par l'intermédiaire d'un collegue, la console de microsoft (puisque je ne peut pas aller sur le site ) et j'ai suivi la procédure d'installation indiquée dans le guide, apres avoir desactivé l'antivirus, adaware et spybot et fermé toutes les autres fenêtres, cela a lancé tralala qui a bien commencé à travailler, et a affiché step 1,2,... Par contre, je n'ai pas suivi le déroulé en temps reel et quand je suis revenu devant la machine, je n'avais pas de rapport d'execution ! C:\combofix n'existe pas, par contre sous C:\ je trouve un "DISQUE" tralala qui ouvre sur le poste de travail... Pas de trace de rapport... Que fais-je ? Je relance tralala ?

Essaie de désactiver la vaccination de Spybot. Pour cela, suis ces instructions : Vois si cela améliore les choses. >> Fais, mais cela ne change rien (désactivé aussi le resident de Spybot) ------------- Sinon il faut qu'on y voie plus clair. Télécharge (s'il te laisse faire) GMER Rootkit Scanner du lien suivant : - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; >>J'ai récupéré le programme mais quand je le lance, il me fait un ecran bleu (trop rapide pour que je vois de quoi il retourne) et fais rebooter la machine ! (essayé deux fois)