[Résolu] Désinfection machine

[lance_yien]

Bonjour,

 

Pour Avira il semble être "... successfully updated!" (mis à jour) par Security Check, mais là n'est pas l'objectif premier.

On s'occupe de l'état infectieux.

--

 

- Est-ce toi qui as refusé d'installer la Console de Récupération? Il est très important de la laisser s'installer car elle nous permet de réparer ta machine en cas de plantage.

- Tu ne m'as pas dit si ton "processus 2221099479:683056251.exe" est toujours là ou pas (il a pu changer de nom mais toujours de la même configuration <un_nombre_aléatoire>:<un_autre_nombre_aléatoire>.exe et le fichier du même nom se trouve dans Windows.

 

>>> ComboFix: On refait une deuxième analyse pour laisser s'installer la Console mais surtout pour confirmer la suppression des mauvais items:

Cliquer-droit sur ComboFix.exe => "Supprimer" et télécharger une nouvelle copie du même endroit, de la même manière et suivre les mêmes instructions. Laisser s'installer la Console et finir l'analyse (peut être long). Copier/ coller les résultats dans la prochaine réponse.

 

 

>>> TDSSKiller: Télécharger, sur le Bureau TDSSKiller.zip depuis ici et le dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici"). Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

Fermer toutes les fenêtres et applications en cours et désactiver antivirus et tout autre programme de protection.

Double-cliquer sur TDSSKiller.exe pour lancer le programme et cliquer sur le bouton "Start Scan" et patienter jusqu'à la fin de l'analyse.

Si un fichier infecté est détecté, l'action par défaut sera "Cure" et si un fichier suspect est détecté, l'action par défaut sera "Skip".

Sans rien changer, cliquer sur le bouton "Continue".

 

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton "Reboot Now". Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt).

Si aucun redémarrage n'est requis, cliquer sur "Report". Un fichier texte s'ouvre et sera sauvegardé de la même manière.

Copier/ coller les résultats dans la même prochaine réponse.

 

Rapports demandés:

• ComboFix.txt
• TDSSKiller_log.txt

Autres symptômes à vérifier?

[borobobo]

Bonjour

bon dimanche

 

1 - La console de récupération ne m'avait pas été proposée lors du premier passage de combofix

L'installation de la console a été proposé au deuxieme passage

Au troisième passage combofix m'a proposé de mettre à jour la version

cette version ne fonctionnait pas

retour à l'ancienne version

au quatrieme, cinquième sixieme essai 3 écrans bleu de windows

avec un erreur stop 0x0000008E ....

et mention du pilote sbhips. sys (en liaison apparemment avec sunbelt parefeu

 

septieme essai avec une nouvelle version rapatriée à partir du forum

essai correct qui a permis le rapport joint

 

2 - Lien CJoint.com AIlgcFIUMEU

 

3 passage de TDSSkiller , qui n'a rien revelé

 

rapport TDSSkiller

 

Lien CJoint.com AIlgezgQmjd

 

4 TDSSkiller s'est révelé négatif

car j'ai entretemps utilisé

 

Antivir rescue system

puis AntiZeroAccess.EXE

c'est ce dernier qui semble avoir nettoyé le systeme

 

le rapport indiquait

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 08/09/2011 - 21:48

Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3

21:49:28 - CheckSystem - Begin to check system...

21:49:28 - OpenRootDrive - Opening system root volume and physical drive....

21:49:28 - C Root Drive: Disk number: 0 Start sector: 0x009C263D Partition Size: 0x061A7966 sectors.

21:49:28 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

21:49:28 - InstallAndStartDriver - Main driver was installed and now is running.

21:49:28 - CheckSystem - Disk class driver state is OK.

21:49:30 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

21:49:30 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

21:49:30 - Execution Ended!

 

5 - Antivirus aviraguard restait bloqué

désinstallation automatique d'avira

complétée par un nettoyage manuel (environ une vingtaine de clé)

téléchargement de la dernière version d'avira

après cette installation avira est à nouveau fonctionnel

6 - après le 3è passage de combofix

WINDOWS XP signalait qu'une erreur sérieuse avait été trouvée

la suppression et récréation du fichier d'échange d'xp parait avoir résolu le problème

 

6 - dernier problème

message en provenance du parefeu sunbelt

boot logging enable

j'avais demandé la journalisation du parefeu dès le démarrage de la macine

en décochant la dite case le problème semble résolu

 

7 - reste à faire

un dernier passage de combofix

[lance_yien]

Bonjour,

 

Visiblement tu veux faire ce que tu veux sans tenir compte de ce que je te demande. Il n'y a aucun problème.

Moi j'arrête là. Il y a d'autres personnes qui ont, réellement, besoin d'être aidé.

 

Voici comment supprimer les utilitaires (au cas où):

- Pour supprimer ComboFix, cliquer sur "Démarrer" => "Exécuter" et saisir (ou copier/ coller) ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur "OK".

Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installés et ré-initialiser les points de restauration.

- Pour supprimer les autres utilitaires et leur rapports (sur le Bureau et/ou à la racine de la partition système), cliquer-droit dessus => "Supprimer".

[borobobo]

lance yen bonjour,

 

vous me demandiez si le fichier processus 2221099479:683056251.exe existait toujours ou non.

Je n'ai pas eu le loisir de l'indiquer dans ma réponse précédente

ni de terminer le post par des remerciements.

Peu familier de votre forum, je n'ai pas vu que la réponse comportait une deuxième page

c'est pourquoi j'ai pris la liberté de tester avira rescue system

st d'anticiper l'utilisation d'antizeroacces.

grâce à vous j'ai également appris la méthode pour installer la console de récupération

et l'existence de deux outils antirootkit spécifiques

 

il me reste à vous féliciter pour vos compétences

à vous remercier pour votre assistance

je pensais que le complément d'indications fournies pourrait vous être utile.

 

je termine ce post en essayant de le clôturer avec le terme résolu dans l'énoncé du message

j'espère que ce sera dans mes capacités

 

merci encore

[Dylav]

Bonjour Borobobo,

 

Si tu considères la question réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet. Pour ce faire, je te suggère de consulter ce tutoriel de Thorgal…

 

@+

Dylav