Antivirus Software Alert -> PC "bloqué"...Virus ?

[Apollo]

ComboFix n'a pas prévenu ni produit de rapport?

 

Il faudra le relancer mais en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

Mais avant, essayer ceci:

 

Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.

 

Décompresse-le. (clic droit/extraire ici).

 

Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.

 

Double-clique sur TDSSKiller.exe

 

A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre.

Si un reboot est demandé, accepter en tapant Y (yes) et valider avec Enter.

 

NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:

Hidden service detected: nom du service caché:

Type "delete" (without quotes) to delete it: 14:30:08:000 0256

,

 

tape delete et valide par la touche Enter.

 

Il y aura un rapport TDSSKiller.txt sur le C:\

Ouvre le fichier texte et copie l'entièreté du contenu; colle-le dans ta réponse.

 

@++

Modifié le 25 mai 2010 par Apollo

[Marine840]

Un écran noir avec des inscriptions est apparu mais avant que j'ai pu lire plus loin que les quelques premiers mots, il s'est arrêté...pfff...!!

 

Je m'occupe de ce logiciel et je te tiens au courant !

Modifié le 25 mai 2010 par Marine840

[Apollo]

C'est que TDSSKiller n'as pas trouvé grand-chose.

 

Ouvre le poste de trvail, double-clique sur C e cherche un rapport TDSSKiller.txt.

 

Poste-son contenu stp.

 

++

[Marine840]

00:02:25:224 5316 TDSS rootkit removing tool 2. 3. 1. 0 May 25 2010 12:52:14

00:02:25:224 5316 =======================================================================

00:02:25:224 5316 SystemInfo :

 

00:02:25:224 5316 OS Version: 6. 0. 6002 ServiPack: 2. 0

00:02:25:224 5316 Product type: Workstation

00:02:25:224 5316 ComputerName: PC-DE-MARINE

00:02:25:224 5316 UserName: Marine

00:02:25:224 5316 Windows directory : C:\Windows

00:02:25:224 5316 Processor architecture: Intel x86

00:02:25:224 5316 Number of processors: 2

00:02:25:224 5316 Page size: 0x1000

00:02:25:224 5316 Boot type: Normal boot

00:02:25:224 5316 ====================================================================

00:02:39:873 5316 Initialize success

00:02:39:873 5316

00:02:39:873 5316 Scanning Services ...

00:02:40:762 5316 Raw services enum returned 442 services

00:02:40:793 5316 Suspicious serv sytkivvx (h: 0, b: 1)

00:02:40:793 5316

00:02:40:793 5316 Hidden service detected !

00:02:40:793 5316 Service name : sytkivvx

00:02:40:793 5316 Image path:

00:02:40:793 5316 Type "delete" (without quotes) to delete it: 00:03:21:774 5316

00:03:21:774 5316 By user detect sytkivvx

00:03:21:774 5316 RegNode HKLM\SYSTEM\ControlSet001\services\sytkivvx infected by TDSS rootkit ... 00:03:21:774 5316 will be deleted on reboot

00:03:21:790 5316 RegNode HKLM\SYSTEM\ControlSet002\services\sytkivvx infected by TDSS rootkit ... 00:03:21:790 5316 will be deleted on reboot

00:03:21:837 5316 RegNode HKLM\SYSTEM\ControlSet003\services\sytkivvx infectd by TDSS rootkit ... 00:03:21:837 5316 will be deleted on reboot

00:03:21:837 5316 !dttws2 200:03:21:852 5316 File C:\Windows\system32\drivers\sytkivvx.sys infected by TDSS rootkit ...00:03:21:852 5316 will be deleted on reboot

00:03:21:852 5316

00:03:21:852 5316 Scanning Drivers ...

00:03:22:383 5316 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys

00:03:22:476 5316 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys

00:03:22:586 5316 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys

00:03:22:617 5316 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys

00:03:22:664 5316 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys

00:03:22:773 5316 AFD (a201201363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys

00:03:22:851 5316 AgereSoftModem (ce91b158fa490cf4c4d487a4130f4660) C:\Windows\system32\drivers\AGRSM.sys

00:03:23:116 5316 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys

 

 

[Ca t'embête si je te le mets en plusieurs fois en éditant le message ? C'est long à recopier ]

 

C'est que TDSSKiller n'as pas trouvé grand-chose.

L'écran noir c'était pour Combofix

Modifié le 26 mai 2010 par Marine840

[Apollo]

Okayyy comme dirait Jacouille la fripouille

 

On sait maintenant quelle est la sale bête qui infecte la machine, ce salopard de TDSS.

 

Le pc a redémarré après TDSSKiller?

 

Tu sais télécharger?

 

Si oui:

 

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi-même pour parachever le nettoyage.
  

 

----------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide."
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

On avance, c'est bon signe

 

@++

Modifié le 25 mai 2010 par Apollo

[Apollo]

NB: Quand un rapport est long, cela ne me dérange pas du tout que tu le postes en plusieurs fois.

 

Mais en général, un clic droit sur le texte ouvert, puis encore clic droit/Copier et ça doit aller.

 

Coller le tout dans la réponse

[Marine840]

J'mettrai la suite demain je pense, là, je commence à avoir du mal avec toutes ces petites inscriptions

 

NB: Quand un rapport est long, cela ne me dérange pas du tout que tu le postes en plusieurs fois.

 

Mais en général, un clic droit sur le texte ouvert, puis encore clic droit/Copier et ça doit aller.

 

Coller le tout dans la réponse

 

Le souçis c'est que j'ai toujours pas accès au net avec la machine infectée et que je veux pas risquer de faire passer le virus sur celle-ci via CD --' du coup c'est super long

 

Le pc a redémarré après TDSSKiller?

 

Il me semble bien oui !

 

Là j'vais rien faire ce soir mais demain, je continue seulement de te poster le rapport ou je te poste le rapport mais je lance aussi TFC ?

Modifié le 25 mai 2010 par Marine840

[Apollo]

Après le passage de TDSSKiller, ComboFix ne veut toujours pas fonctionner jusqu'au bout?

 

 

C'est un CDRW?

 

Efface-le avant de repasser sur l'autre pc

 

Pour effacer un CDRW ou un DVDRW: http://www.ntfs.com/dvd_eraser.htm

 

Choisis l'effacement lent, c'est plus sûr.

 

Bonne nuit

Modifié le 25 mai 2010 par Apollo

[Marine840]

J'ai pas relancé Combofix, je le fais demain si tu veux!

 

Et non, malheureusement, ils étaient en rupture de stock de CDRW et j't'avoue que j'avais moyen envie d'attendre plusieurs jours...! Du coup c'est de CD-R tout simples.

 

Bonne nuit à toi aussi

[Apollo]

C'est dommage de gaspiller des cd-r mais s'il n'y a rien de trop important sur la clé usb, tu peux formater celle-ci avant de la repasser sur le pc clean.

 

Tout simplement en passant par le poste de travail, clic doit sur la lettre de la clé/formater.

 

@ demain Marine.

 

Dodo.

Modifié le 25 mai 2010 par Apollo