Infestation par rootkit

[Apollo]

Ne me dis pas que tu utilises combofix avec des programmes ouverts?

[searcher41]

je donne les infos en direct :

ok scan en cours, dans une invite de commande à fond bleu :

il a tenté le point de restauration

il me dit ensuite terminé : étape 1 ; terminée : étape 2 ...

 

et donc s'il dit que c'est dangereux cette fois-ci je fais rien , on est d'accord ^^ ?

 

Edit : arrivée étape 50 puis :

"suppression de fichiers"

puis le pc coupe d'un coup comme si je l'avais éteint au doigt et redémarre.

j'ai mon message "windows pas arrêté correctement" je chosi "démarrer en mode normal" et me voilà de nouveau sur mon écran de login ...

 

je vais voir si la boucle recommence du coup

 

 

Edit 1 : ouïe je me trouve sur écran sans wallpaper ni icônes avec une alerte avira pour ramnit !

 

édit 2 : bureau revenu, pas de log sur le bureau, mon antivrus continue de s'affoler et l'invite de commande me redemande de lui filer les droits d'admin !

 

on dirait que ca n'a pas marché, je me fais un scan en live cd demain, je te tiens informé !

je supprime tout ce que le live cd trouvera, sauf contre-ordre de ta part

 

en attendant encore merci de m'avoir consacré une partie de ton temps !

 

PS : quand je laisse la requête d'UAC pour cmd32.exe comme si j'étais pas devant l'écran, la rêquête disparaît d'elle même au bout d'un certain temps pour revenir ensuite

 

non là je t'écris d'un vieux coucou qui rame comme pas possible, j'essaie d'utiliser le pc infecté que pour les manips et les dl d'applis de désinfection, combo fix a tourné avec toutes les fenêtres fermées

Modifié le 8 décembre 2011 par searcher41

[Apollo]

Tu dois d'abord essayer de réparer avant de supprimer.

 

N'oublie pas que ce virus infecte les exe et que si tu les supprimes d'office, tu es bon pour le formatage.

 

Avant le cd live, essaie ça: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

[searcher41]

ok message bien reçu. et en cas d'échec de réparation ?

pour removal tool aussi j'essaie de réparer alors

 

bon page de dl de removal tool bloquée à son tour :/

Modifié le 8 décembre 2011 par searcher41

[Apollo]

Oui, de toutes façons, les fenêtres de Kaspersky donnent toujours le meilleur conseil.

 

Il ne supprimera que ce qu'il estime irréparrable.

 

Je vais me coucher, bonne nuit

 

@++

[searcher41]

ok,

 

je verrai removal tool (page de dl bloquée pour le moment) et live cd demain

 

encore merci, bonne nuit !

[searcher41]

Bonjour,

 

Quelques nouvelles de mon pc infesté :

- j'ai analysé le pc avec kaspersky rescue disk : à 20% d'analyse, plusieurs centaines de fichiers infestés, les détections s'enchaînent toutes les 10 sec, avec des .exe ou des .dll infectés tantôt par "nimmul.a" tantôt par "WIN32patched.md".

- je décide la restauration de windows avec une partition de sauvegarde déjà présente à l'achat de mon pc.

- me voici avec une partition C: théoriquement toute neuve, comme quand j'avais acheté mon pc neuf. mon autre partition, de données pures, n'a pas été formatée et mes données semblent alors "sauvées"

- MAJ vista à fond, scan mbam + AV. pas de détection sous C:, mais 9 détections par mbam de "ramnit.E" et plusieurs 10aines par mon AV de "trojan swizdrop.AA.A.3" et "ramnit.E" sur ma partition de données

 

Questions à postériori :

- pensez-vous que le rootkit a bien été viré par la réinstall du système ? (je n'ai, heureusement, plus d'invitation à accorder mes droits au démarrage)

- mbam + AV vont-il suffire à me débarrasser de tous les ramnit présents ? (autrement dit, s'il les reconnaît, les a-t-il tous détectés ou a-t-il pu en laisser passer quand même ? mon AV semble pouvoir réparer les fichiers infectés)

- mbam veut se lancer au démarrage pour "terminer" le nettoyage, mais windows l'en empêche toujours : est-ce "normal" ?

 

Merci pour vos réponses

[Apollo]

Bonjour,

 

Le gros problème avec les virus du genre Virut ou Ramnit, c'est que pas un des fichiers infectés par ces monstres ne doit échapper à l'antivirus.

 

S'il n'en reste qu'un seul dans un coin, il va se reproduire à très grande vitesse. Cela devient un cercle vicieux.

 

La solution qui doit souvent intervenir pour régler définitivement ce problème est le formatage et il est exclu de sauvegarder un seul exécutable, puisque c'est la cible privilégiée de ces terroristes du net qui ne visent même pas à se faire du fric mais seulement avoir le plaisir de détruire.

[Apollo]

Cependant et si tu veux encore tenter de combattre cette saloperie, il reste l'une ou l'autre solution possible mais non garanties.

 

Dr.Web CureIt! — Ñкачать Ð°Ð½Ñ‚Ð¸Ð²Ð¸Ñ€ÑƒÑ Ð±ÐµÑплатно! Лечение вируÑов, Лучший беÑплатный антивируÑ!

 

--> Tuto de Nardino

 

DrWeb CureIt: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

 

Faire l'analyse en mode sans échec. (une rapide suivie d'une complète).

 

Mais c'est très ardu, et il est difficile de faire mieux que les experts de Kasper ou de DrWeb...

 

@++

[searcher41]

ok merci pour les infos,

 

mon pc étant trop vieux, les scans sur live cd le font bien chauffer et il finit par se couper, j'ai eu la démo vendredi soir avec le rescue disk de kaspersky -_- ... je ne vais donc pas pouvoir jouer du drweb ...

mbam ne trouve rien, mon AV non plus, tdss killer non plus, je peux accéder à tous les outils de désinfection que je veux. ca c'est signe que cette *** de rootkit serait partie, du moins je l'espère.

 

quant à ramnit, il serait parti du pc aussi, j'ai supprimé manuellement tous les .exe ou .dll de ma partition de données et les enièmes scans sont toujours négatifs :s

 

demain ca sera l'instant de vérité : scan du DDE de données, connecté quelques minutes au moment de l'attaque , si le scan est positif, je pourrai constater que mon AV est toujours opérationnel, s'il est nég ca sera peut être aussi bon signe. un peu désemparé par du mauvais matériel, je n'ai plus trop le choix.

 

demain sera peut être le mot de la fin, à noter que le très redouté combofix n'aura pas fonctionné cette fois :s