Bloqué démarrage xp suite TROJAN

Résolu/Fermé
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016 - 10 août 2010 à 00:42
 Utilisateur anonyme - 17 août 2010 à 13:30
Bonsoir,

Je viens de manger un méchant trojan sortant de nullepart.

Là, cela me pose de gros problèmes puisque lors du démarrage, juste avant que windows xp se lance, j'ai la fameuse page bleu avec le texte en blanc de type : "windows vient de détecter un problème etc...."
Cette page dure 2 secondes et redémarre mon pc automatiquement et ce continuellement.
AVG me l'a détecté et je n'ai même pas eu le temps de voir le nom du trojan...

Que faire s'il vous plaît ? Je suis vraiment bloqué (j'écris d'un autre ordi)

Merci par avance pour votre aide.
A voir également:

65 réponses

charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
15 août 2010 à 21:44
Justement, je viens de me rendre compte que c'est la seule étape de ton tuto final que j'ai oublié de faire....
0
Utilisateur anonyme
15 août 2010 à 21:48
:)
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
Modifié par charlypolka le 15/08/2010 à 21:57
Je viens d'installer sunbelt personnal firewall vu que j'ai XP.

Comment pourrais-je savoir s'il me reste des trojans et ou virus après avoir redémarré le pc suite au scan complet de Dr web ?
Il y avait quand-même 8 fichiers infectés dont 2 Backdoor TDSS qui sont connus apparemment pour être récurrent...
0
Utilisateur anonyme
15 août 2010 à 22:07
▶ Télécharge TDSSKiller

▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

▶ Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
15 août 2010 à 22:19
Avec la désactivation des défenses ? je me pose souvent la question car j'ai l'impression que les logiciels anti-spywares trouvent bien plus de choses avec les défenses désactivées...je me trompe ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
15 août 2010 à 22:20
oui desactive
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
15 août 2010 à 22:32
Petit problème il ne veut pas lancer l'exécutable, ça plante...

" windows ne trouve pas C:\tdsskiller\tdsskiller.exe..."
0
Utilisateur anonyme
15 août 2010 à 22:36
mets ton windows à jour
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
15 août 2010 à 23:54
Le copier/coller ne passait pas, je l'ai mis sur ci-joint :


http://www.cijoint.fr/cjlink.php?file=cj201008/cijQ0cn3ue.txt
0
Utilisateur anonyme
16 août 2010 à 00:10
retelecharge combofix , et renomme-le , puis refais un CFScript avec ceci :


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
C:\Windows\system32\Drivers\adiloader.sys

Driver::
ADILOADER

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 10:05
Bonjour Gen,

voici le log via ci-joint :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpQTOYUw.txt


Impossible de le copier/coller depuis hier soir...Pb de javasript, pourtant j'ai effectué les MAJ.
0
Utilisateur anonyme
16 août 2010 à 12:46
ok salut desolé j ai fait une faute de frappe pour le fichier , il risquait pas de disparaitre

puis quelques rajouts-oublis :)


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\windows\system32\drivers\adildr.sys

Driver::
is-F5L4Jdrv
is-90E2Odrv

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 13:50
http://www.cijoint.fr/cjlink.php?file=cj201008/cij7xS5bJB.txt

Toujours le même pb, je ne peux pas copier/coller le log de combofix ici...
0
Utilisateur anonyme
16 août 2010 à 14:03
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir"

c:\windows\system32\drivers\i8042prt.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de la page dans ta prochaine réponse.
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 15:23
http://www.virustotal.com/file-scan/report.html?id=d1665a8e14ae52aed1701f4cff4356d18382b056249f54aee605301b36c08a8b-1281964681
0
Utilisateur anonyme
16 août 2010 à 15:33
ok toujours des redirections ?
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 15:41
A première vue non...
0
Utilisateur anonyme
16 août 2010 à 16:17
supprime tout ce qui concerne Avenger

supprime H:\Combofix

demarrer / executer , puis tape :

Combofix /uninstall (espace avant le "/")

puis entrée

regarde s'il reste :

C:\Qoobox

ou autre chose appartenant à Combofix

fais quelques essais pour confirmer le stop des redirections
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 17:09
Ca m'a l'air bon. Ce qui me fait peur c'est que dr.web avait laissé des fichiers en quarantaine...

Par contre je ne parviens pas à désinstaller combofix. Ca ne marche pas pourtant j'ai bien respecté tes instructions.


Dois-je aussi recocher les fichiers en cachés ?
0
Utilisateur anonyme
16 août 2010 à 17:12
comme inidiqué plus haut dans mon grand tuto , oui

supprime le dossier C:\Documents and Settings\Ta session\DoctorWeb
0
charlypolka Messages postés 95 Date d'inscription mercredi 16 septembre 2009 Statut Membre Dernière intervention 14 avril 2016
16 août 2010 à 17:17
C'est fait. Finito ?

J'espère que je ne t'êmbeterai pas une 3 ème fois ^^
0