impossible de supprimer rogue windows protection suite

[OumHilal]

j ai eu acces a partir du cd a liste du dossier system32 drivers

 

les 2 dossiers st absents

[oGu]

Très bien!

 

L'un a été supprimé par ComboFix (sans que je ne lui demande; sans doute car ce fichier est infecté). L'autre, atapi, mystère! Les rapports ne montrent rien le concernant.

 

L'ennui, c'est que ce type de problème/détection semble lié à un nouveau virus de type rootkit, TDSS, qui pose des problèmes insolubles dans l'immédiat. J'espère que ce n'est pas ça sur ta machine, mais les dysfonctionnements récents ne me poussent pas à l'optimisme !

 

On va au moins remettre ta machine sur pied, pousser les investigations (pour faire avancer la science ), et surtout on va mettre tes documents au chaud (on va les héberger quelque part sur Internet, pour que tu y ais accès de n'importe où, même de ton collège, ou d'un autre ordinateur : qu'en penses-tu?). S'il s'avère que tu as un rootkit pourri, on formatera, ou on installera Linux que tu as découvert à tes dépends !

 

On y va, toujours en Console : saisis ces lignes, et à la fin de chacune d'entre elles, valide avec Entrée:

 

COPY c:\windows\ERDNT\cache\atapi.sys c:\windows\System32\Drivers\atapi.sys

 

CD ERDNT

 

BATCH CFrecovery.bat

 

CD ..\System32\Drivers

 

COPY ..\..\..\QooBox\Quarantine\C\Windows\System32\Drivers\pciide.sys.vir pciide.sys

 

Exit

 

Normalement, ton PC devrait repartir.

[OumHilal]

j ai un doute car les caracteres st un peu flous c est atapi.sys ou atapl.sys

et pclide.sys ou pcllde.sys / j ai verifie les 2 eme

 

sinon t as bien saisi ma preoccupation premiere bien sur recuperer un pc en etat de marche / acheter du materiel info n est pas ds mon planning du mois !

et surtout recuperer et sauvegarder mes doc

dc ok pr les "mettre au chaud"/ sur internet ? pas de risque qu ils soient accessibles a nimporte qui ?

 

et je veux bien faire "avancer la science" par la meme occasion je fais avancer la mienne ! mais j suis pas d ac pour servir de cobaye qd meme !

Modifié le 22 novembre 2009 par OumHilal

[oGu]

Ce sont des i et non des L :

 

atapi

 

pciide

 

Aucun L donc.

[OumHilal]

Bon je suis vraiment une quiche sur ce coup la ! ms m'sieur c est pas d' ma faute j'vous jure sur la tete de ma rem l ecran est un peu trouble

 

dc verdict ...

atapi.sys est la

pas de pciide.sys

il y a pci.sys

et pciidex.sys

 

j suis punie au coin ?

[oGu]

Refais la manip' avec cette syntaxe (en validant avec Entrée à chaque fin de ligne )

CD ERDNT

 

BATCH CFrecovery.bat

 

CD ..\System32\Drivers

 

COPY ..\..\..\QooBox\Quarantine\C\Windows\System32\Drivers\pciide.sys.vir pciide.sys

 

Exit

Modifié le 22 novembre 2009 par oGu

[OumHilal]

J ai fait la manip

1 fichier copie

ms jai 2 doutes / 1 il fallait laisser les .../ ?

2 a la derniere ligne j ai tape jusqu a pciide.sys.vir puis entree

ensuite il n a pas accepte pciide.sys

t as pas oublie qqch entre pciide.sys.vir et pciide.sys ?

[oGu]

Non, je n'ai rien oublié, à ma connaissance en tout cas...

 

Il faut bien laisser un espace entre pciide.sys.vir & pciide.sys, puis taper sur Entrée après avoir écrit pciide.sys (c'est à dire l'intégralité de la dernière ligne, quoi). Cela permet en fait de renommer pciide.sys.vir en pciide.sys tout court. Là, t uas du seulement copier le fichier .vir, sans le renomme, donc ça ne suffira pas.

 

Et oui, il faut laisser les .../

 

Réessaie pour voir??

[OumHilal]

il m indique fichier introuvable

[oGu]

Alalalala! On va y arriver, faut pas lacher!

 

Essaie ceci (je rajoute Entrée quand il faut taper sur la touche, c'est plus simple comme ça) :

 

CD C:\WINDOWS\SYSTEM32\DRIVERS\

 

ENTREE

 

REN C:\WINDOWS\SYSTEM32\DRIVERS\pciide.sys.vir pciide.sys

 

ENTREE

 

EXIT

 

ENTREE

Modifié le 22 novembre 2009 par oGu