Super infection, supers problèmes...

[Anarchy on my computer]

On dirait bien que c'est sans retour même RootRepeal m'affiche un écran bleu, et je l'ai fait tourner ce matin, en ce moment même je me bat avec les svchost.exe qui s'incruste dans mes processus et me font lagger. T_T

 

Ps: j'ai également trouvé des executables dans mon C:/ ( ainu.exe ) et dans le repertoire de ma session ( ImPlayOk.exe )

Modifié le 10 février 2010 par Anarchy on my computer

[Thanos]

salut

 

Est ce que le mode sans échec fonctionne sur le pc ?

Pour le savoir fais ceci >>

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  
• Clique sur le bouton Oui à l'apparition du message.
  
• Choisis ton compte usuel, et non Administrateur.
  

Si ce mode fonctionne, fais ceci >>

 

Supprime la copie de ComboFix présente sur ton Bureau.

Télécharge le et renomme le fichier de nouveau (comme la première fois) mais ne le lance pas encore.

Redémarre le pc en mode sans échec.

Relance Combofix comme indiqué. Etant donné qu'il n'y a pas de connexion en mode sans échec, la Console de Récupération ne pourra pas être téléchargée, donc n'en tient pas compte et tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.

Le pc sera redémarré (peut être plusieurs fois) pour finir le nettoyage

Au redémarrage (en mode normal), poste le rapport. Si tu ne le vois pas, tu le trouveras dans le disque C:\ et il se nomme ComboFix.txt

 

Note: si le mode sans échec n'est pas accessible, ne tente pas de passer par l'Utilitaire de Configuration système surtout! le pc redémarrerait en boucle.

[Anarchy on my computer]

Bonjour Thanos,

 

Les scan a été fait en mode sans échec malheureusement lorsque l'ordinateur a redémarré j'ai eu une fois encore droit à l'écran bleu ( en laissant combofix finaliser son scan ) j'ai quand même regardé dans C:/ pour voir les rapports présents car j'ai assisté à la suppresion d'executable [...] familiers via combofix. Mais aucun rapport j'en ai peur.

 

Dois-je essayer de refaire un scan avec une nouvelle version de combofix en scanant et redémarrant en mode sans échec ?

[Le sioux]

Bonjour Anarchy on my computer

 

Je te vois en bas de page

 

En attendant Thanos, regarde dans C:\ si ne trouve pas ComboFix.txt ou dans C:\Qoobox\ si tu y vois ComboFix-quarantined files.txt

 

Bonne continuation à vous deux.

Modifié le 20 février 2010 par Le sioux

[Anarchy on my computer]

Bonjour sioux et merci d'être passé.

 

Voici le rapport du .txt

 

2010-02-17 06:03:48 . 2010-02-17 06:03:48 632 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-PSwitch.reg.dat

2010-02-17 06:03:47 . 2010-02-17 06:03:47 534 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-lsass.reg.dat

2010-02-17 06:03:41 . 2010-02-17 06:03:41 129 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-jodouka.reg.dat

2010-02-17 06:03:40 . 2010-02-17 06:03:40 154 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-PSwitch.reg.dat

2010-02-10 12:33:40 . 2010-02-10 13:18:29 40,996 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\imPlayok.exe.vir

2010-02-09 11:17:59 . 2010-02-09 11:17:59 0 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\logfile32.txt.vir

2010-02-09 11:17:56 . 2010-02-09 11:17:56 42,496 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\80.scr.vir

2010-02-08 13:16:48 . 2010-02-17 05:55:49 1,068 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_SYSDRV32.reg.dat

2010-02-08 13:16:48 . 2010-02-17 05:55:49 766 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_ICF.reg.dat

2010-02-03 10:34:04 . 2010-02-03 10:34:04 42,496 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\08.scr.vir

2010-02-02 13:32:22 . 2010-02-02 13:32:22 42,496 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\34.scr.vir

2009-12-30 20:40:01 . 2010-02-10 13:22:00 5,120 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\Thumbs.db.vir

2009-11-12 22:38:01 . 2009-11-12 22:38:01 148,736 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\hpe4BF.dll.vir

2009-10-10 09:18:14 . 2009-10-10 09:18:14 134 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Microsoft Driver Setup.reg.dat

2009-10-10 09:00:57 . 2009-10-10 09:00:57 838 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-DAEMON Tools Toolbar.reg.dat

2009-10-10 09:00:57 . 2009-10-10 09:00:57 968 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-AMX Mod X Installer.reg.dat

2009-10-10 08:59:02 . 2010-02-17 05:55:27 10,477 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2009-10-10 08:56:12 . 2010-02-17 05:49:46 408 ----a-w- C:\Qoobox\Quarantine\catchme.log

2009-08-14 00:45:23 . 2009-08-14 00:45:23 0 ----a-w- C:\Qoobox\Quarantine\C\logfile32.txt.vir

2007-04-09 15:09:44 . 2007-04-09 15:09:44 77,312 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\TWAIN_32.DLL.vir

[Thanos]

ok: certains éléments ont été supprimés par ComboFix: relance stp RSIT et poste le rapport pour voir où tu en est.

Retente d'utiliser GMER: supprime la copie présente sur ton pc et recommence comme ceci =>

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.