AIde pour un virus

[pear]

Est ce que le "virus" a pu se loger dans une clé ?

Oui.

Formatez les.

[bondioune]

J'ai viré toutes les clés... j'ai pas trop essayer de formater car c'est curieux:

- dans l'explorateur windows, elles apparaissent avec une icone de faux folder

- quand je les scannes, l'antivirus voit bien ce qu'il y a dedans mes pdf, word etc mais dans l'explorateur windows, tout ça n'y est pas, je n'ai que des fausses icones qui sont des exe avec les même noms que mes fichiers d'avant (ex; j'ai une photo qui s'appelle moi.jpeg et qui fait 4 500 Ko.... dans l'explo apparait un fichier qui s'appelle moi qui a une fausse icone de jpeg mais qui est un exe et fait 260 Ko)

- quand je clic droit sur les clés.. ça freeze.

 

Après enlevage de toutes les clés j'ai refait un coup de RK 1 et 2 qui me dit 0access, MbAM me dit aussi 0Access et antizero me dit:

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 18/01/2012 - 18:42

Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3

18:42:57 - CheckSystem - Begin to check system...

18:42:57 - OpenRootDrive - Opening system root volume and physical drive....

18:42:57 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors.

18:42:57 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

18:42:57 - InstallAndStartDriver - Main driver was installed and now is running.

18:42:57 - CheckSystem - Warning! Disk class driver is INFECTED.

18:42:59 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020.

18:43:03 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.

18:43:03 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020.

18:43:04 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

18:43:04 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

18:43:04 - Execution Ended!

 

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 18/01/2012 - 18:43

Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3

18:44:00 - CheckSystem - Begin to check system...

18:44:00 - OpenRootDrive - Opening system root volume and physical drive....

18:44:00 - C Root Drive: Disk number: 1 Start sector: 0x0000003F Partition Size: 0x17BD13D8 sectors.

18:44:00 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".

18:44:00 - InstallAndStartDriver - Main driver was installed and now is running.

18:44:00 - CheckSystem - Warning! Disk class driver is INFECTED.

18:44:02 - CheckFile - Unable to read "dtscsi.sys" file. CreateFile last eror: 0x00000020.

18:44:04 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.

18:44:04 - CheckFile - Unable to read "sptd2365.sys" file. CreateFile last eror: 0x00000020.

18:44:05 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

18:44:05 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

18:44:05 - Execution Ended!

 

 

Alors dans la fenetre à la fin, y me dit qu'y trouve pas zeroaccess, dans le log y dit qu'il le trouve et l'efface... mais je l'ai fait tourner 10 fois, et il le trouve et l'efface 10 fois.

 

J'ai refait un tour de MbAM et en 38 secondes y me trouve zeroacces dans C/WINDOWS/system32/nvnet

 

Que fais je ? J'ai toujours pas fait Space security ni RK DNS...

 

Edit:

J'ai essayé à nouveau DrWeb en mode normal. Y m'a trouvé 4 trojan et une merdouille avant de me laisser un écran bleu.

Modifié le 18 janvier 2012 par bondioune

[pear]

Alors dans la fenetre à la fin, y me dit qu'y trouve pas zeroaccess, dans le log y dit qu'il le trouve et l'efface... mais je l'ai fait tourner 10 fois, et il le trouve et l'efface 10 fois.

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

Lorsque l'outil a terminé son travail d'inspection

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[bondioune]

Bonjour

 

Alors j'ai fait tourner TDSS qui m'a trouver 3 threats, 2 pas important selon lui (scsi et un autre) classé en médium et 1 important (zeroaaccess) classé en high. du coup c'était skip pour les mediums et cure pour 0access, j'ai donc fait continue, puis rebooté comme demandé. J'ai eu le droit à un CHKDSK au démarrage avec des corrections en veux tu en voilà mais là les pb ont commencé:

- 1er reboot: freeze et tout bloqué après qq clics sur des icones

- 2ème reboot: idem

- 3ème reboot: l'agent web d'avast était désactivé et pas réactivable et refreeze et avast me fait une alerte: dropper bloqué objet: C/WINDOWS/system32/drivers/avgldx86.sys infection: Win32:Sirefef-F Processus: PID 4

- 4ème reboot: message de windows:Depuis que windows a ete active une premiere fois sur cet ordinateur, le matériel de l'ordinateur a changé de manière significative, suite à ces changements, windows doit etre réactivé sous 3 jours. Voulez vous réactivez windows maintenant ?

Je réponds non.... re freeze et compagnie, pas moyen de graver le rapport sur un cd

- 5ème reboot: A l'ouverture de ma session, remessage de windows: Un problème a empeche windows de verifier le statut de la licence de cet ordinateur. Afin de continuer cette copie de windows doit etre activée auprès de MIcrosoft. Voulez vous le faire maintenant ?

Je réponds non en pensant que j'avais toujours 3 jours... mais en fait non.... c'est tout de suite ou sinon pas de windows..

 

 

Pour le moment j'ai tout éteint...

Je réactive windows ?

Pour info, je sais pas si c'est important mais depuis la première activation de windows, j'ai changé de CG, rajouté 2 barettes de 512 de memoire et 2 DD, mais ça fait un moment tout ça.. c'est windows qui se réveille ? ou c'est un pb virus ?

Si je dois réactiver, va falloir que je me connecte à internet ce que je n'ai pas fait depuis que je suis infecté. Qu'est ce que le virus a pu attraper comme mot de passe et info sur le pc ?

Msn, facebook, des numéro de CB ?

Est ce qu'y faut que j'installe un pare feu ou que j'initialise celui de windows pour "controler" toutes les tentatives de connexion à internet d'un logiciel tiers ?

 

Je dois raconter tout un tas de truc inutile... j'attends les instructions.

[pear]

infection: Win32:Sirefef-F, c'est zero access.

 

Postez les rapports, svp.

Sans cela nous sommes désarmés.

 

Il semblerait que Tdds Killer ait échoué.

 

On tente autre chose:

 

Relancez Rogue killer , options 1 puis option2.

 

Télécharger FixTdss

 

Fermez tous les programmes.

Si vous utilisez Windows XP, désactivez Restauration du système.

Double-cliquez sur FixTDSS.exe pour lancer l'outil

Cliquez sur Démarrer pour commencer le processus, puis laissez l'outil s'exécuter.

Redémarrez l'ordinateur lorsque vous êtes invité par l'outil.

L'outil vous informe de l'état de l'infection.

 

[bondioune]

Bonsoir,

 

 

Alors, ce que j'ai fait:

 

Allumage du pc et cliquage sur oui quand windows m'a demandé d'être réactivé ===> Fond d'écran sans icone ni windows puis plus de mouvement.

Ré-allumage du pc ===> J'arrive jusqu'au moment ou je choisis ma session mais ma souris ne veut plus bouger, j'en branche une autre sur USB mais toujours rien

Ré-allumage du pc ===> Toujours même symptome

Ré-allumage du pc ===> le pc me demande comment je veux l'allumer (sans echec, normalement, avec active directory, avec la dernière config connu et qui marche etc etc

Tentative en sans échec, en dernière config qui marche et en normal ===> Ecran bleu similaire à celui ci: http://imageshack.us/photo/my-images/716/dsc00514hs.jpg/

 

Juste une chose change, c'est le premier numéro après la parenthèse, moi c'est (0x84c7528, etc etc

Modifié le 19 janvier 2012 par bondioune

[pear]

Vous ne faites rien de ce que je vous demande et n'en faites qu'à votre tête.

J' arrête là et vous souhaite bonne chance.

[bondioune]

?

 

Je fais tout ce que vous me dites de faire.... seulement, comme indiqué dans mon message de 14h33, windows me demande de le réactiver, sans ça je ne peux accéder à ma session et je ne peux donc pas envoyer de rapport ni rien faire d'autre.

 

J'ai donc essayé de le réactiver comme demandé par windows pour avoir une chance d'accéder au rapport et de faire ce que vous me demandiez, mais cela n'a pas été possible comme je vous le dis dans le message de 21h18 (réactivation impossible, souris non reconnu et maintenant écran bleu)

 

J'aimerais faire ce que vous me dites... y a juste un problème, le pc, lui ne veux pas.

 

Qu'est ce que je n'ai pas fait et que j'aurais du faire ? je suis à la lettre vos instructions.

Modifié le 19 janvier 2012 par bondioune

[pear]

http://support.microsoft.com/kb/307890/fr

[bondioune]

Bonsoir,

 

 

Alors, ce que j'ai fait:

 

Allumage du pc et cliquage sur oui quand windows m'a demandé d'être réactivé ===> Fond d'écran sans icone ni windows puis plus de mouvement.

Ré-allumage du pc ===> J'arrive jusqu'au moment ou je choisis ma session mais ma souris ne veut plus bouger, j'en branche une autre sur USB mais toujours rien

Ré-allumage du pc ===> Toujours même symptome

Ré-allumage du pc ===> le pc me demande comment je veux l'allumer (sans echec, normalement, avec active directory, avec la dernière config connu et qui marche etc etc

Tentative en sans échec, en dernière config qui marche et en normal ===> Ecran bleu similaire à celui ci: ImageShack® - Online Photo and Video Hosting/

 

Juste une chose change, c'est le premier numéro après la parenthèse, moi c'est (0x84c7528, etc etc

 

 

?

 

Je fais tout ce que vous me dites de faire.... seulement, comme indiqué dans mon message de 14h33, windows me demande de le réactiver, sans ça je ne peux accéder à ma session et je ne peux donc pas envoyer de rapport ni rien faire d'autre.

 

J'ai donc essayé de le réactiver comme demandé par windows pour avoir une chance d'accéder au rapport et de faire ce que vous me demandiez, mais cela n'a pas été possible comme je vous le dis dans le message de 21h18 (réactivation impossible, souris non reconnu et maintenant écran bleu)

 

J'aimerais faire ce que vous me dites... y a juste un problème, le pc, lui ne veux pas.

 

Qu'est ce que je n'ai pas fait et que j'aurais du faire ? je suis à la lettre vos instructions.

 

J'en suis toujours à mon écran bleu et impossibilité de faire quoi que ce soit, ayant cru que vous m'aviez abandonné, j'ai essayé d'accéder au dernier rapport de TDSSkiller via un cd live.

J'ai fait un iso de UBC4WIN sur un dvd rewritable mais mon pc ne veut pas booter dessus (même si je fais F8 et que je dis au pc de booter sur mon lecteur de cd).

Là je suis en train de télécharger un iso d'un linux pour faire un cd live linux ... pour tenter au moins d'aller récuperer le fameux rapport.

 

Si vous avez d'autres consignes... n'hésitez pas.