Infection News Daily 7

[lance_yien]

En effet rien n'a changé!

Toujours sans USB ni DD externes.

--

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

>>> Utiliser BDRemovalTool_TDSS-Clones: Aller ici et cliquer sur Download the 64-bit version of the tool pour télécharger BDRemovalTool_TDSS-Clones sur le Bureau.

Fermer toutes les applications en cours et désactiver les programmes de protection (antivirus, parz-feu...) puis cliquer-droit sur "BDRemovalTool_TDSS-Clones" => "Exécuter en tant qu'administrateur".

Cliquer sur "Démarrer l'analyse" et laisser faire.

Quand c'est fini, copier/coller les résultats dans la prochaine réponse ou faire une capture d'écran (au moins me dire s'il y a eu quelque chose de détecté).

 

 

>>> Essayer aswMBR:

• Désactiver tous les programmes de protection (antivirus, pare-feu et antispyware) et fermer toutes les fenêtres ouvertes.
  
• Cliquer-droit sur aswMBR.exe => "Exécuter en tant qu'administrateur". Cliquer sur [YES] dans le message "Would you like to download latest Avast! virus definitions?" et patienter.
  
• Cliquer sur le bouton "[Scan]" et laisser faire jusqu'à la fin puis cliquer sur le bouton [Save log]. L'enregistrer sur le Bureau en laissant le nom par défault "aswmbr.txt" et poster son contenu dans une prochaine réponse. (NE rien fixer sans y être invité).
  
• Un autre fichier "MBR.dat" sera généré et sauvegardé sur le Bureau: L'héberger et poster son lien.

S'il fonctionne, ignore la suite.

 

 

>>> Sinon, télécharger sur le Bureau TDSSKiller.exe depuis ici.

Fermer toutes les fenêtres et applications en cours et désactiver antivirus et tout autre programme de protection.

Cliquer-droit sur TDSSKiller.exe => "Exécuter en tant qu'administrateur" pour lancer le programme et cliquer sur le bouton "Start Scan" et patienter jusqu'à la fin de l'analyse.

Si un fichier infecté est détecté, l'action par défaut sera "Cure" et si un fichier suspect est détecté, l'action par défaut sera "Skip".

Sans rien changer, cliquer sur le bouton "Continue".

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton "Reboot Now". Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt).

Si aucun redémarrage n'est requis, cliquer sur "Report". Un fichier texte s'ouvre et sera sauvegardé de la même manière.

Poster le contenu du rapport.

 

 

>>> Essayer aswMBR come indiqué ci-dessus.

 

>>> Utiliser RogueKiller: Fermer tous les programmes et fenêtres en cours et cliquer-droit sur "RogueKiller.exe" => "Exécuter en tant qu'administrateur".

Cliquer sur "Scan" et laisser faire!

En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".

Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

[flolem]

bon... seul RogueKiller à fonctionné

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florian [Droits d'admin]

Mode: Recherche -- Date: 16/02/2012 00:49:26

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] ad756c61690939d3a56e15b0e6bef20f

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

User != LL1 ... KO!

--- LL1 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

User != LL2 ... KO!

--- LL2 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

Une idée de pourquoi aucun des logiciels ne veut se lancer ?

Il y a le sablier pendant une seconde..et puis rien

[lance_yien]

Bonjour,

 

Oui, on sait pourquoi les utilitaires ne fonctionnent pas comme on veut à chaque fois:

- Les pirates sont payés assez cher et ils ont intérêt à ce que leurs programmes ne soient pas supprimés dès le 1er coup de balayette!

- les infections, il en sort tous les jours et il faut du temps aux utilitaires à se mettre à jour (exactement comme pour la grippe et les vaccins

 

J'espère que tu attends assez longtemps avant d'arrêter un utilitaire qui ne semble pas fonctionner. Certains nécessitent plusieurs heures et le fait que rien ne se passe sur l'écran ne veut pas dire que tout est bloqué.

--

 

Une dernière tentative avec les mêmes outils (à essayer aussi en "mode sans échec avec prise en charge réseau" et "mode sans échec"):

 

1) S'assurer que TDSKiller est bien sur le Bureau, sélectionner et copier la 1ère ligne du texte suivant (en gras):

 

cd %userprofile%\Desktop

TDSSKiller.exe -tdlfs -l rapport.txt

 

Cliquer sur "Démarrer" => "Accessoires", cliquer-droit sur "Invite de commande" => "Exécuter en tant qu'administrateur".

Dans la fenêtre qui s'ouvre, cliquer-droit => "Coller" et presser la touche Entrée.

Copier/coller la 2ème ligne et presser la touche Entrée.

Laisser faire en cliquant sur Oui/OK/Yes aux éventuels messages et/ou invitation à redémarrer.

Quand c'est fini les résultats seront sauvegardés sur le Bureau sous "rapport.txt", poster ces résultats.

 

2) Refaire le scan avec aswMBR (comme indiqué dans mon message précédent) mais cette fois Décocher la case "Trace disk IO calls" avant de cliquer sur "Scan". Oublier la machine un long moment

 

Procure-toi des CDs vierges si tu n'en as pas, nous aurons besoin de 1 ou 2 selon les cas.

Modifié le 16 février 2012 par lance_yien

[flolem]

La dernière tentative à échouer...

 

je suis sur qu'ils ne fonctionnent pas.

J'ai regardé dans le gestionnaire de tache, rien n'indique leur exécution.

 

puis j'accède même pas à leur interface (même en ligne de commande)

 

j'ai des DVD vierges, ça fera l'affaire ?

[lance_yien]

Ok, on laisse tomber les outils conventionnels (on les supprimera à la fin).

Si tu veux utiliser des DVDs, moi ça ne me dérange pas pourvu que tu arrives à démarrer ton PC dessus. Saches aussi que tu risques de ne jamais le réutiliser.

--

 

ATTENTION: Il est absolument déconseillé d'utiliser GParted sur certaines machines HP Pavilion. Si tel est le cas pour ton PC, n'hésite pas à arrêter si tu vois un blocage qui dur plus de 20 à 30 secondes.[/color]

 

Télécharger (sur le Bureau):

• GParted depuis ICI. Il s'agit d'une image ISO qu'il faut graver sur un CD (DVD).
  
• "burncdcc.zip" depuis ICI, cliquer-droit dessus => "Extraire vers.\burncdcc".

Ouvrir le nouveau dossier "burncdcc" et cliquer-droit sur "BURNCDCC.EXE" => "Exécuter en tant qu'administrateur".

Une fois que le CD est gravé, fermer tous les programmes et fenêtres en cours et redémarrer la machine avec le CD dans son lecteur. Il est possible d'avoir besoin de modifier l'ordre de Boot dans le Bios (ou le menu de démarrage) et choisir le CD-Rom en 1er. La touche (ou combinaison de touches) à activer pour rentrer dans le Bios est indiquée dans la toute 1ère page au démarrage du PC.

Une fois que le programme est lancé, laisser toutes les options par défaut et appuyer seulement sur la touche "Entrée" jusqu'à arriver sur une page semblable à ceci:

 

 

Sans rien changer, noter tout ce qui est écrit (ou prendre une photo de l'écran, l'héberger et la poster dans la prochaine réponse).

Double-cliquer sur le bouton , choisir "Reboot" et cliquer sur OK.

[flolem]

alors alors.

 

j'avais déjà une version de GParted Live sur un CD... sauf que mon ordi (ou mon écran ?) à des problèmes avec les live CD Linux... j'ai jamais pu ou presque lancer un live CD en mode graphique

A chaque fois, j'ai une erreur... pourtant le live CD est correct car testé sur d'autre ordi.

 

Je sais pas si c'est à cause de ma résolution d'écran non supportée ou un truc du genre mais :/

Donc en gros, je reste en mode console > tty ne fonctionne pas.

 

Je vais quand même essayer de graver la dernière version et booter dessus voir ce qu'il se passe.

Mais je manque un peu de temps en ce moment, donc pas avant demain :s

 

Autrement, je sais pas si ça peut le faire mais voici mes disque:

 

disquedur - HostingPics.net - Hébergement d'images gratuit

 

pris sur le gestionnaire de disque Windows...

[lance_yien]

Bonjour,

 

Je ne sais pas pourquoi ton cd ne fonctionnait pas.

Tu a déjà posté une image de ton gestionnaire de disque.

Merci de graver un nouveau CD et faire la manip demandé.

[flolem]

voila:

 

P1010252 - HostingPics.net - Hébergement d'images gratuit

[lance_yien]

Bonjour,

 

Bravo, c'est exactement ce qu'il nous fallait!

 

La partition malicieuse est la /dev/sda4 avec la mention "Boot".

Le but de la manœuvre suivant est de mettre ce "Boot" sur la partition de démarrage normal.

 

Fermer tous les programmes et fenêtres en cours et redémarrer la machine avec le CD dans son lecteur.

Une fois que le programme est lancé, laisser toutes les options par défaut et appuyer seulement sur la touche "Entrée" jusqu'à arriver sur la page Principale.

Je ne sais pas sur quelle partition ton PC doit démarrer normalement et si tu ne sais pas non plus, essaie de voir sur les documents en ta possession ou sur le site du fabricant.

Si aucune information, mets la partition sda2 en "Boot" et vois ce que ça donne. Si ce n'est pas la bonne partition ta machine ne bootera pas normalement et il n'a pas de quoi s'affoler. Juste recommencer la manip avec le CD en mettant sda1 en "Boot" et vérifier. SURTOUT NE RIEN SUPPRIMER.

Cliquer-droit sur la ligne /dev/sda2 | ntsf | SYSTEM... et sélectionner "Manage Flags" (gérer les drapeaux). Cocher la case boot dans le menu qui s'affiche comme ceci

 

Double-cliquer sur le bouton , choisir "Reboot" et cliquer sur OK.

 

Laquelle était la bonne? Aller sur le net et voir s'il y a toujours des problèmes.

[flolem]

alors (je suis sur un autre ordi en ce moment)

 

quand je met "sda1", j'ai le message suivant aprés l'écran de boot:

BOOTMGR is missing

Press ctrl + Alt + Del to restart

donc, ce n'est pas lui

Je ne sais plus à quoi sert cette partition :/

 

Donc "sda2" est bien ma partition de boot:

quand je fais démarrer Windows normallement, j'ai l'écran de lancement Windows (avec la barre bleu de chargement) puis:

un écran bleu penant un trés court instant (BSOD) puis reboot ...

 

Donc je suis passé par l'autre démarrage proposé:

"Outil e redémarrage système" mais pour le moment, il trouve pas grand chose

Le tentative e réparations est en cours d'éxecution

 

si ça reboot, je peux essayer de démarrer en mode sans échec.

 

Je dois bientôt quitter pour aller au travail. J'écris juste pour signaler la situation actuelle

 

edit: j'obtient:

l'outil de redémarrage système ne peut pas réparer automatiquement l'ordinateur

donc l'outil de réparation de démarrage ne fonctionne pas

en passant en mode avancé, il y avait plusieurs autre option sinon

 

j'ai réussi à faire des photos:

 

http://hpics.li/6c0845c

http://hpics.li/5c409e4

Modifié le 20 février 2012 par flolem