[Résolu] Mon PC est-il infecté ?

[Ibo]

Bonjour à tous,

 

Je viens de m'inscrire à ce forum car j'aurais besoin d'une aide avisée.

 

1/ Avant hier, mon PC s'est mis brusquement à cumuler 5 problèmes en l'espace de 2 ou 3 heures:

1.a- Les liens de Google m'envoyaient systématiquement sur d'autres pages que ceux que je cliquais (toujours la même page commerciale)

1.b- Firefox ouvrait intempestivement une nouvelle fenêtre (genre www.jollysearch.com ...) mais c'était toujours le même lien

1.c- J'ai lancé MBAM (Malaware...) pour vérifier que tout allait bien : et pour la première fois depuis 2 ans, MBAM a planté

1.d- J'ai eu un message d'alerte de McAfee Security Center signalant que l'alerte en temps réel est désactivé

1.e- Mon moniteur de ressources montre une activité de disque dur importante (>60%) alors que je ne fais rien, et que il n'aurait rien dû faire (pas de téléchargement en cours, etc.)

 

Note: J'ai pu télécharger (via newsgroup, jamais en P2P) par le passé mais quand ça a planté avant hier, je n'avais rien installé de nouveau, ni téléchargé depuis plusieurs semaines. J'étais en train de naviguer sur Internet et d'écrire des mails.

 

2/ Aujourd'hui:

1.a: plus de problèmes de liens Google

1.b: oui, mais une seule fois, au lieu de 5 ou 6 fois avant hier

1.c: toujours planté, même en réinstallant une nouvelle version

1.d: toujours désactivé, mais quand je le réactive manuellement

1.e: mon disque dur s'est calmé, mais il fait toujours des lectures en arrière plan (genre 20-40% d'activité)

 

3/ Ensuite, j'ai fait ce que vous déconseillez de faire en cédant (un peu) à la panique (je n'avais pas lu vos instructions sur ce forum avant...)

- J'ai lancé ZHPDiag: mais il a planté (fermeture de logiciel avec message d'erreur)

- J'ai lancé Combofix: mais il a planté (fermeture de logiciel sans message d'erreur : mais je vois qu'il a planté car il s'est arrêté net en cours d'analyse)

 

Bref, someone can help ?

Et me dire quoi faire pour diagnostiquer mon PC (alors que ZHPDiag plante et MBAM plante...)

 

Un grand merci par avance.

 

Ibo

Modifié le 26 septembre 2011 par Ibo

[pear]

Bonsoir,

 

Pas simple , en effet.

 

Essayez ceci:

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection

, ("Malicious objects")

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[Ibo]

Bonsoir pear

et merci pour la réponse rapide

 

Tdsskiller : OK installé, trouvé 3 malicious & suspicious, OK reboot now

Et voici le copier coller du rapport Tdsskiller ci-dessous.

Lien Cijoint Rapport généré par Tdsskiller

 

C'est grave docteur ?

 

J'en profite pour inclure deux fenêtres qui s'affichent au reboot, et qui ont apparu depuis avant hier, et la fenêtre d'erreur Malware.

Lien Cijoint Copies écran

 

Merci !

 

Ibo

 

=================================

[Ibo]

Bonsoir

 

En complément, j'ai relancé 2 fois Tdsskiller

 

Voici les 2 rapports successifs (au 2ème rapport, il y a eu un "processed error" : le "cure" n'a pas fonctionné apparemment):

 

Lien Cijoint Rapport Tddskiller #2

 

Lien Cijoint Rapport Tddskiller #3

 

Et au passage, j'ai des onglets Firefox qui se remettent à s'ouvrir tous seuls ce soir...

Le dernier onglet renvoie à ce lien (j'ai volontairement ajouté des espaces):

http:// unexceptionablesearchsystem . com / ?search=how+tall+is+ashley+benson & subid=73&key = 88c72b1214a84b4e3185&f=1

 

Please help !

J'ai l'impression d'avoir qq chose de vivant qui prend possession de mon ordi

 

Thanks

 

Ibo

[pear]

ZeroAccess rootkit, also known as Max++ rootkit,

 

Souvent TddsKiller suffit, sinon Il vaut mieux mieux formater.

 

Une petite chance cependant:

Rechercher si vous avez le fichier winsrv.dll

 

Si oui et si vous êtes sous Windows 7

 

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.

Choisir le bureau comme lieu d'enregistrement, puis dans:

Type -> choisir "tous les fichiers"

Nom du fichier -> taper Serv.bat.

Clic sur enregistrer.

- Double clic sur le fichier pour le lancer.

 

Pour créer un fichier .reg:

Clic droit sur un espace vide du bureau->Nouveau->Document texte

Copier/coller ce qui suit en vert

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

 

 

 

sans ligne blanche au début.mais une à la fin

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans [bType de fichier]->Tous les fichiers

Dans Nom->regis.reg.

Allez sur le bureau

Votre ficher ressemble à ceciimage

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

image

 

Si vous ne pouvez pas fusionner ou que vous avez un message du genre "n'est pas un fichier de régistre valide",

C'est parce que vous avez fait une erreur.

[Ibo]

Merci pear.

Je suis sur Dell XPS430, Vista Intégrale 32 bits SP2.

 

1/ En allant voir sur Google ce qu'est ce ZeroAccess Rootkit, j'ai compris que mon ordi est bien infecté.

Vous avez efficacement répondu à la question posée par mon topic.

 

2/ Bon, effectivement Tdsskiller ne suffit pas, car toujours le même message d'erreur que mon rapport #3 ci-dessus.

Et apparemment, c'est grave docteur puisque vous envisagez le formatage...

(la dernière fois que j'ai formaté, c'était le disque dur d'un PC AT genre processeur 486, voyez le truc)

 

Mais alors 2 questions:

2.a- Ne puis je pas utiliser le CD de reinstall de Windows de Dell, sans avoir à reformater ? Est-ce suffisant pour désinfecter ?

2.b- Est-ce que le formatage suffit ? Et y a-t-il un moyen de faire proprement

(c'est à dire: pour être sûr d'effacer ce Zeroaccess rootkit et éviter un max de reinstallation de programmes, i.e. comment backuper mes prgrammes - pas les data hein, uniqt les programmes) ?

 

 

Raah la la, la galère.

 

Le week end s'annonce studieux.

 

En tout cas, re-merci d'avoir identifié la cause du mal.

 

Ibo

[pear]

Bonjour,

 

2.a- Ne puis je pas utiliser le CD de reinstall de Windows de Dell, sans avoir à reformater ? Est-ce suffisant pour désinfecter ?

non.le formatage est obligatoire

2.b- Est-ce que le formatage suffit ? Et y a-t-il un moyen de faire proprement

(c'est à dire: pour être sûr d'effacer ce Zeroaccess rootkit et éviter un max de reinstallation de programmes, i.e. comment backuper mes prgrammes - pas les data hein, uniqt les programmes) ?

le formatage suffit.

Quant aus programmes, il faudra les réinstaller.

Il n'y a pas de moyen d'éviter le retour à zero.

 

Bon courage.

[Ibo]

ok, merci pear

 

Bien compris

No choice, nada

 

Dernière question: je fais quoi une fois tout formaté et réinstallé ?

Je réinstalle Tdsskiller et je reposte ici le rapport ? Comment savoir précisément si ce Zeroaccess rootkit ("démon, sors de ce corps"...) n'est plus là ?

 

En tout cas, merci pear, merci pour l'existence de ce forum qui a l'air d'en sauver plus d'un !

 

Ibo

[pear]

Bonjour,

 

Normalement, après formatage et réinstallations, le pc est propre.

Mais rien ne s'oppose à ce que vous lanciez tdss killer.

[Ibo]

OK merci pear.

 

En fait, ce n'était pas la dernière question.

Que conseillez vous d'installer, en plus de mon antivirus McAfee , pour éviter que cela ne se reproduise ?

Y a-t-il des protections (gratuites ?) sur le marché suffisamment puissant ? car apparemment, ce zeroaccess rootkit est bien connu, non ?

 

Bon, je me lance dans la sauvegarde et le formatage...

 

Ibo