Infection TDL3 mal erradiqué

[Jokil159]

Bonjour à tous et à toutes,

 

Je vous annonce la couleur, j'ai déjà fait un post sur le forum de futura science, ce derniers a été directement fermé et celà à cause de mon OS (Windows Trust), je tiens à préciser que je possède bien une version légale de Windows XP sur mon poste, mais que Trust m'a été très souvent recommandé (je commence à croire que l'on m'a berné)

 

Voilà depuis 2 semaines environs, sur Internet Explorer j'avais régulièrement des popups qui s'ouvraient sur des sites non fonctionnels et qui finissaient tous par /search.php. Ces popups s'ouvraient aléatoirement, de plus, une bonne partie des mes liens de recherche google était redirigé vers le même genre de sites.

J'ai donc effectué un scan complet avec Avira AntiVir Premium Security Suite 2010 (A jour), puis avec A-squared, puis avec Malware Bytes, puis avec Spybot, les seuls virus trouvé étaient des riskware issue de programme de modification de paquet, mais aussi pour minimizor.exe (programme permettant de faire un alt+tab plus rapide sous wolfenstein).

Puis en voulant afficher les codes sources d'une page je me suis rendu compte que le Bloc Note avait été désinstallé, mais pas seulement le notepad, aussi Windows Media Player !

Et tout c'est accéléré, mon antivirus était à moitié désactivé, M-Bytes bloquait régulièrement des IPs rerouter aux Pays Bas.

J'ai donc rechercher les IPs sur google et je suis tombé sur de nombreux posts traitant d'infection par RootKit.

Tout correspondaient, en effet il y'a 2 semaines mon antivirus m'a avertis que j'étais sous une session Admin (or je suis sous une session Admin depuis plus d'un an).

J'ai alors fait un scan avec cwshredder.exe, aucun virus CoolWebSearch, puis j'ai lancé TDSSKiller.exe qui me détectait une infection sur un driver "drivers\atapi.sys" infected by TDSS rootkit.

 

Il me demandait un redémarrage pour erradiquer le virus, mais a chaque redémarrage je tombais sur un écran bleu, idem en mode sans échec, j'étais obligé de booter en dernière configuration fonctionnel, et à chaque fois le virus était toujours là, j'ai donc utilisé TDSS remover, qui lors de son chargement a detecté une infection TDL3, redémarrage, et là impossible de me reconnecter au wifi (bloque sur lecture de l'adresse réseau), Antivir s'affole et me trouve plusieurs virus, aussitot supprimé, je redémarre et là toujours le problème du wifi mais aussi l'antivirus à moitié désactivé (Seulement le Guard était actif, mais le webguard et le mailguard est inactif et impossible à relancer), et un pc très loooong au démarrage, mais plus aucune trace de TDL3.

 

J'ai fais un scan avec le Rescue CD de Kaspersky datant du 04/2010 mais rien trouvé non plus

 

Je vous fournis le log de détection de TDSSKiller, et un log de RSIT datant d'aujourdui.

En espérant que vous vous pencherez sur mon cas, je vous remmercie d'avance de votre aide.

 

PS : Il m'est impossible d'utiliser Combofix, il me dit que je suis ne pas sous XP ou windows 2000, cela doit sans doute venir du fait que je suis sous Windows Trust, on m'a dit que c'était génial, je commence à regretter mon bon vieux XP SP3.

 

PS² : Il y'a une semaine Avira m'a détecté un virus JAVA/Agent.nai si sa peut aider...

 

Logs :

 

TDSSKiller.2.2.8.1_05.05.2010_16.01.33_log.txt

log.txt

info.txt

[Mark]

Bonsoir Jokil159 ; je te souhaite la bienvenue sur nos forums

 

Tout d'abord, merci pour ta franchise (j'insiste).

 

Ce qui est arrivé sur Futura est essentiellement ce qui se fait sur plusieurs forums d'aide. Les Chartes prévoient la fermeture de sujets où un logiciel illégal est utilisé.

 

De plus, comme tu l'as constaté, certains de nos excellents outils ne tournent pas sous ces environnements ; ça rend notre boulot (bénévole) quasi impossible. Non seulement il s'agit de supporter un programme/système illégal, mais nous risquons de perdre notre temps - le nôtre et le tien, aussi.

 

Cela dit, cette infection est déjà très difficile à traiter sur des systèmes "entiers", alors tu peux imaginer sur un Windows Trust ou autre. Oui, tu as mal été conseillé(e).

 

Ton XP SP3 tourne toujours ? Tu pourrais y transférer les données essentielles et repartir avec ?

 

@+

 

Mark

[Jokil159]

Il m'est possible peut ètre de faire tourner Combofix en regardant dedans avec Orca, mais je doute que cela me soit très utile.

Mais si j'ai bien compris, je suis bon pour formater, et réinstaller mon Windows d'origine (Je vais leur faire bouffer leur OS "allégé" !!! ^^)

Sinon pour le formatage, je possède deux disques dans ma tour, l'un avec Windows et quelques docs, et l'autre avec tous mes documents, puis je formater le C: (disque windows) et conserver le D: sans risque de me remanger le virus ?

[Mark]

Bonjour Jokil ;

 

En principe, formater le C: fera très bien l'affaire. Cette famille d'infections ne touche que le lecteur système. Tu peux même sauvegarder les quelques données qui s'y trouvent ; ces dernières doivent être fiables par contre...

 

Oublie ComboFix. Il ne pourrait pas réparer ce Windows, car il n'est tout simplement pas codé pour ça et ton système "allégé" ne pourrait lui fournir ce dont il a besoin.

 

Bon succès pour la réinstallation. Je laisse ce topo ouvert, si jamais tu avais des questions

 

@+

 

Mark