Aller au contenu
xati

Puis-je utiliser Combofix ?

Messages recommandés

Bonjour à tous.

 

La raison de mon post est la suivante, j'utilise un Inspiron 9400 Dell Laptop avec Windows XP Pro Media Center 2005, 1,83Gz Centrino duo, 2Go de RAM, et je rencontre depuis un certain temps de sérieux soucis.

 

En effet, certains fichiers disparaissent comme par enchantement. Cela a commencé par la disparition supposée par moi comme impossible des fichiers de boot de la machine. Plus de bootfont.bin, config.sys, io.sys, ntlde, autoexec.bat ni de pagefile.sys. J'ai trouvé ça incompréhensible mais j'avais un clone de mon système. J'ai copié-collé les fichiers manquants et c'est reparti.

 

Dernièrement, disparition des connexions réseau, plus de cartes... et puis une dll qui manque, puis une autre, puis MSInstaller qui devient indisponible, etc. Kaspersky 2012 ne trouve rien, Sophos AntiRootkit trouve une flopée de choses que je suis incapable d'interpréter. J'ai tenté des tas d'autres choses sans résultats.

 

En dernier recours, j'ai fait une réinstallation-réparation de XP Pro, mais pas très convaincante. Bref la machine répond mal, a des réactions bizarres du style vieilles fenêtres qui s'ouvrent sans demande, logiciels aussi, l'icône de mon lecteur DVD s'affiche comme un disque dur. Bref, c'est la panique. J'en arrive à être parano et imaginer toutes sortes d'attaques nouvelles indétectables actuellement parce que trop récentes, etc. du délire, quoi, en fait.

 

On m'a parlé de Combofix à utiliser avec une aide extérieure. Puis-je utiliser cet utilitaire et être drivé par quelqu'un d'expérimenté sur le sujet ?

 

Grand merci d'avance.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir

Pas sur que le soucis soit du à un intrus mais plutôt a une défaillance matériels :chpas: surtout que tu as réinstallé ton OS.

Sans pour cela lancer Combofix tu peux déjà faire ceci.

 

Télécharge "CrystalDiskInfo" pour voir ce que donne tes DD.

 

Télécharger CrystalDiskInfo Portable gratuitement | CommentCaMarche

 

ensuite pour voir plus.

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

sptd.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

Modifié par bernard53

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Bernard 53 pour ta réponse. Tout d'abord toutes mes excuses pour ma tardive réaction, en effet, j'avais perdu l'usage du copier-coller et pas moyen de remettre cela en ordre jusqu'à maintenant. Bref, pour répondre à tes consignes, j'ai effectué un test avec CrystalDiskInfo qui me suggère de faire attention à mon HD. Cela me surprend car ce HD est quasiment neuf, c'est celui d'un disque externe iomega de 300Go acheté recemment que j'ai pris pour remplacer le hitachi traveler d'origine (Dell Inspiron 9400) dont les 80Go étaient devenu insuffisants en lui adaptant un clone de ce que contenait ce dernier au moyen de CloneDisk de Easeus. J'ai cherché des firmwares pour essayer de le remettre en état mais je n'ai pas trouvé vu que c'est un Samsung qui apparemment dépend de Seagate qui a remplcé Maxtor qui...bref,je ne suis jamais arrivé à m'y retrouver chez les fabriquants de hds. En ce qui concerne l'analyse avec OTL, j'ai posté les fichiers correspondant sur le ftp et sont disponibles aux adresses suivantes : Cliquez ici. et Cliquez ici. J'espère avoir correctement suivi tes consignes et te remercie sincèrement pour ton service et ta réponse prochaine.

Cordialement

Xati

Partager ce message


Lien à poster
Partager sur d’autres sites

ok fait ceci.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

SRV - (YKRC) -- File not found

SRV - (sprtsvc_DellSupportCenter) SupportSoft Sprocket Service (DellSupportCenter) -- File not found

SRV - (SHCX) -- File not found

SRV - (Cleaner_Validator) -- File not found

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Babylon Search

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.defaulturl: ""

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - prefs.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - prefs.js..keyword.URL: "http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q="

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"

FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"

FF - user.js..browser.search.defaultengine: "Ask.com"

FF - user.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - user.js..browser.search.defaulturl: ""

FF - user.js..browser.search.order.1: "Ask.com"

FF - user.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q="

FF - user.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"

FF - user.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"

FF - user.js..browser.search.defaultengine: "Ask.com"

FF - user.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - user.js..browser.search.defaulturl: ""

FF - user.js..browser.search.order.1: "Ask.com"

FF - user.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q="

FF - user.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com"

FF - user.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://www3.iamwired.net/websearch.php?src=tops&search=" => ZHPHosts White List

FF - user.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com"

FF - user.js..browser.search.defaultengine: "Ask.com"

FF - user.js..browser.search.order.1: "Ask.com"

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: Google

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: File not found

[2011/11/17 19:25:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\xavier\Application Data\Mozilla\Firefox\Profiles\2y1fve70.default\searchplugins\askcom.xml

[2012/01/20 10:36:26 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\xavier\Application Data\Mozilla\Firefox\Profiles\2y1fve70.default\searchplugins\sweetim.xml

[2012/01/31 14:00:01 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

CHR - default_search_provider: search_url = Facemoods Search

O2 - BHO: (no name) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - No CLSID value found.

O3 - HKLM\..\Toolbar: (Freecorder Toolbar) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\prxtbFre0.dll (Conduit Ltd.)

O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found

[2012/01/31 14:01:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Media Finder

[2012/01/31 13:59:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Local Settings\Application Data\Babylon

[2012/01/31 13:59:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon

[2012/01/31 13:59:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Babylon

[2012/01/21 18:26:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Toolbar4

:Commands

[resethosts]

[emptytemp]

[purity]

[resethosts]

[clearallrestorepoints]

[createrestorepoint]

[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

 

Ensuite::Télécharge load_tdsskiller de Loup Blanc sur ton Bureau

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

 

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

 

A cette fenêtre lance le scan.

 

11012708271111174.jpg

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

2663-2-eng.png

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.

• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.

• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.

• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"

• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bernard53,

Voici le résultat des analyses demandées :

pour OTL, j'ai reçu trois fichiers sur le bureau :

Cliquez ici.

Cliquez ici.

Cliquez ici.

 

deux dot txt et un dot log disponible comme demandé sur le ftp.

 

En ce qui concerne TDSSkiller, l'analyse n'a rien trouver d'autre que 8 fichiers suspects indiqués "skip" par le soft.

je ne suis pas arrivé à enregister le log. Juste le visualiser car aucune fonction de copier-coller ni d'enregistrement n'étaient disponible dans la fenêtre du log.

Kaspersky indique sur sa page concernant TDSKiller de faire aussi une analyse avec Gmer dont la page de celui ci renvoie également sur des analyses avec catchme.ex et mbr.exe.

J'ai pris les devant en utilisant gmer mais, selon toi, est il nécessaire d'utiliser les deux autres?

Voilà, dans l'attente de ta réponse et encore une fois avec mes remerciements

Xati

Partager ce message


Lien à poster
Partager sur d’autres sites

si "gmer " n'as rien trouvé tu peux en resté la.

 

sinon tu as encore un peu de reste d'intrus donc.

 

 

 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Les Téléchargements - Outils de Xplode - AdwCleaner

 

Lance le, clique sur [suppression]puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

Ensuite ceci::

 

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

SRV - (YKRC) -- File not found

SRV - (sprtsvc_DellSupportCenter) SupportSoft Sprocket Service (DellSupportCenter) -- File not found

SRV - (SHCX) -- File not found

SRV - (Cleaner_Validator) -- File not found

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Babylon Search

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.defaulturl: ""

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - prefs.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - prefs.js..keyword.URL: "http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q=" => Toolbar.Agent

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q=" => Toolbar.Agent

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q=" => Toolbar.Agent

FF - user.js..extensions.enabledItems: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}:2.7.2.0

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q="

[2011/11/17 19:25:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\xavier\Application Data\Mozilla\Firefox\Profiles\2y1fve70.default\searchplugins\askcom.xml

[2012/01/20 10:36:26 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\xavier\Application Data\Mozilla\Firefox\Profiles\2y1fve70.default\searchplugins\sweetim.xml

O3 - HKLM\..\Toolbar: (Freecorder Toolbar) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\prxtbFre0.dll (Conduit Ltd.)

[2012/01/22 18:11:59 | 000,000,000 | ---D | C] -- C:\Program Files\Software

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Babylon Search

[2012/01/31 14:00:01 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

O2 - BHO: (no name) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - No CLSID value found.

O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found

[2012/01/31 14:01:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Media Finder

[2012/01/31 13:59:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Local Settings\Application Data\Babylon

[2012/01/31 13:59:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon

[2012/01/31 13:59:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Babylon

[2012/01/21 18:26:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xavier\Application Data\Toolbar4

[2007/08/15 18:53:16 | 000,024,576 | ---- | M] (Hewlett-Packard Company) MD5=3FC395DF3B8EB05C19A0A14275A982A7 -- C:\Documents and Settings\xavier\Mes documents\2 NTFS\minint\system32\EXPLORER.EXE

[2002/08/29 15:00:00 | 000,516,608 | ---- | M] (Microsoft Corporation) MD5=2246D8D8F4714A2CEDB21AB9B1849ABB -- C:\Documents and Settings\xavier\Mes documents\2 NTFS\minint\system32\winlogon.exe

 

:Commands

[emptytemp]

 

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

 

et ceci:

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

Après dis moi comment va ton pc s.t.p.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok.

Voici le rapport ADWCleaner Cliquez ici. et le rapport OTL Cliquez ici.

L'analyse avec Malwarebytes Anti-Malware est en cours. Une chose bizarre s'est passée quand j'ai demandé l'analyse avec OTL. Pour info, lorsque j'ai cliqué sur "correction" l'explorer a cessé de fonctionner et otl a continué à travailler sur un écran bleu vide. Je ne sais pas si c'est notmal, cela ne l'avais pas fait avant. Quant à Gmer, il a sondé la machine une après midi complète plus une nuit complète plus la matinée du lendemain (aujourd'hui) et n'avait pas encore fini quand je suis rentré. Un coup d'oeil vite fait dans sa fenêtre ne montrait pas d'élément inscrits en rouge. Je l'ai stoppé pour reprendre l'usage du laptop et faire tes analyses préconisées.

A te lire

Xati

Partager ce message


Lien à poster
Partager sur d’autres sites

OK pour Gmer pas de soucis vu le temps que tu l'a laisser en action.

 

otl a continué à travailler sur un écran bleu vide
Maintenant soucis ou pas :chpas: Modifié par bernard53

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×