liens détournés + plantage Combofix

[bobbybob]

Bonsoir,

 

Je suspecte une infection sur mon pc depuis que peu : les snapshots de GooglePreview sont remplacés par des gros sens interdits (images cassés ?), et surtout je suis "détourné" lorsque je clique sur des liens, et je n'arrive pas du tout au bon endroit.

 

Ma config : XP Pro SP3, connexion Wifi WPA

 

J'ai commencé par installer Spybot, mais impossible de l'ouvrir une fois installé. J'ai du le télécharger sur Clubic, le site officiel était cassés (ou rendu injoignable).

Même chose, MBAM refuse de s'ouvrir.

Impossible également de télécharger Ad-Aware, j'ai du passer par Clubic. Aucun résultat de l'analyse. Mise à jour du logiciel impossible : site "injoignable" (encore !).

Impossible de télécharger l'outil de Microsoft de Suppression des logiciels malveillants : les liens de téléchargements ne fonctionnent pas (par contre, je me balade sur le site sans pb).

 

Bref, je tente un démarrage en mode sans échec en espérant que Symantec Client Security trouvera qqchose, mais l'analyse ne donne rien.

Du coup (toujours en mode sans echec, session "Administrateur"), je récupère et lance ComboFix.

 

Celui-si s'installe, je télécharge la Console de récupération, il détecte un Rootkit, me demande de redémarrer... je valide.

Il redémarre, j'ai l'écran de multi-boot (j'ai une version 'light' de XP installée à côté), et visiblement ComboFix pilote la manoeuvre : l'attente ne dure que qqes secondes sur le multi-boot au lieu des 20sec habituelles. Il boote sur la bonne version d'XP, mais en mode normal.

 

Je tombe sur la page d'ouverture de session. J'attends, et comme il ne se passe rien, j'ouvre MA session (j'ai les droits 'admin', mais ce n'est pas la même session sous laquelle j'étais en mode sans echec).

ComboFix reprend son scan tout seul, le bureau est vide.

 

Mais après l'étape 50, j'ai un genre de message d'erreur dans la fenêtre de ComboFix :

'"C:\WINDOWS\system32\"' n'est pas reconnu en tant que commande interne ou externe,
un programme exécutable ou un fichier de commande.

 

Depuis, il ne se passe plus rien.

 

Et là... grosse question :

1/ je ferme la fenêtre ?

2/ je ferme et je relance ComboFix ?

3/ je prépare d'ores et déjà le CD de réinstall de Windows ?

 

aïe aïe aïe, que me conseillez-vous ?

 

merci

Modifié le 10 janvier 2009 par bobbybob

[bobbybob]

Bon, finalement j'ai sauté le pas : j'ai fermé la fenêtre et éteint l'ordinateur.

Au redémarrage, tout est normal et je retrouve les fichiers qui étaient sur mon bureau.

J'ai semble-t-il également récupéré l'usage normal de mon pc.

 

Du coup, j'ai relancé un coup de ComboFix depuis ma session : toujours la même erreur.

Je vais essayer de récupérer une version depuis le site officiel.

 

J'ai également lancé un scan rapide avec MBAM (qui s'ouvre, maintenant...), et il ne trouve rien.

 

La suite demain sans doute.

Modifié le 10 janvier 2009 par bobbybob

[Falkra]

Bonsoir,

 

Je vais essayer de récupérer une version depuis le site officiel.

ne touche plus à combofix seul stp.

 

Voici une des raisons pour lesquelles on déconseille à tout prix d'utiliser combofix sans assistance, et au petit bonheur la chance...

après, on nous traite d'élitistes et de plein de choses désagréables. A la base, c'est pour épargner ça aux gens.

 

J'ai également lancé un scan rapide avec MBAM (qui s'ouvre, maintenant...), et il ne trouve rien.

As-tu besoin d'aide sur les forums ?

 

Si oui, poste le rapport de combofix stp, tu le trouveras dans c:\combofix.txt, mais ne lance pas tout et n'importe quoi au pif... ça ne réussit pas à ta machine.

[bobbybob]

le voici :

 

ComboFix 09-01-10.01 - Marco 2009-01-10 23:27:43.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.1.1036.18.2046.1617 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Marco\Bureau\plop.exe
.

[Falkra]

Est-ce que c'est tout ce que contient le rapport ?

[bobbybob]

oui.

 

pourtant, dans les 2 cas, il est allé jusqu'à l'étape 50.

[Falkra]

Arf, ben là, ça ne sent pas bon : on va naviguer en aveugles.

N'utilise plus combofix, sauf avis contraire ici.

 

Poste le rapport MBAM quand il sera fait, puisqu'il était déjà en route stp.

[bobbybob]

ok, j'attends la fin du scan et je poste le rapport.

j'ai aussi HJT en stock.

[Falkra]

On fera plus gros que HJT, mais une fois MBAM terminé.

 

@ toute (ou @demain).

[bobbybob]

voici le rapport de MBAM :

 

Malwarebytes' Anti-Malware 1.32
Database version: 1638
Windows 5.1.2600 Service Pack 3

2009-01-11 00:28:46
mbam-log-2009-01-11 (00-28-41).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 135282
Time elapsed: 39 minute(s), 7 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> No action taken.