Suppression fichier "sys" impossible

ben fais ! :)

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

si ca peut faire avancer, merci
http://www.cijoint.fr/cjlink.php?file=cj201107/cij1sH3B9s.txt

desinstalle :

QuickStores-Toolbar
Adobe Reader 9.0
Price gong
Spybot si present

======================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nwiz]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_LOCAL_MACHINE\Software\8322898]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"=C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
"C:\WINDOWS\system32\mmc.exe"=C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console
"C:\Program Files\OpenVPN\bin\openvpn.exe"=C:\Program Files\OpenVPN\bin\openvpn.exe:*:Enabled:openvpn
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-

file::
C:\Documents and Settings\All Users\Application Data\common.data
C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLck.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLea.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLes.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLet.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLev.DAT
C:\Documents and Settings\All Users\Application Data\xml17.tmp
C:\Documents and Settings\All Users\Application Data\xml18.tmp
C:\Documents and Settings\All Users\Application Data\xml19.tmp
C:\Documents and Settings\Ch\Local Settings\Application Data\386m5R1LzqKLAt6
C:\Documents and Settings\Ch\Local Settings\Application Data\CWoxACXPMt8

folder::
C:\Documents and Settings\Ch\Application Data\PriceGong
C:\Documents and Settings\All Users\Application Data\cF02300DgLcG02300
C:\Documents and Settings\All Users\Application Data\eM02300JnMgK02300
C:\Documents and Settings\All Users\Application Data\hI02300DoBgC02300
C:\Documents and Settings\All Users\Application Data\iM02300BkIfB02300
C:\Documents and Settings\All Users\Application Data\mG02300EiEeK02300
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

attrib::
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

bon, c'est fait.
Reboot:
Installation d'Acrobat, je zappe
puis une alerte de Panda qui me détecte un exe à la racine de windows.
??

je peux avoir mon rapport ?

voilà:
http://www.cijoint.fr/cjlink.php?file=cj201107/cij0wnYZCN.txt

je vire les deux dossiers dans Ap...Data qui n'ont pas été supprimés?

tu peux

(j'aurais juré que c'était des fichiers...)

And Now?
j'ai toujours des exe qui sont générés, 20h 36 et 20h 40 pour le dernier.
Et quid de mon fichier *.sys?

quels noms ont les exe ?

en general 6 chiffres et deux lettres, analysé par Virus Total comme tr crypt.xpack.gen ou UDS.DangerousObject.Multi.Generic entre autres. Ca passe pas en mode sans echec et restauration désactivée bien sur

http://www.virustotal.com/file-scan/report.html?id=6f661d80f74f1de430f8ec287f06ed0964278eaa0d93da867e089e539a18728a-1311622318

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.

plantage pareil au moment du scan du *.sys
je vais essayer de bidouiller un truc avec hexedit

non

▶ Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

la ca bosse, des petits soucis sur sptd.sys, PavTPK.sys, PavSRK.sys entre autres, toujours dans la directory Windows/system32/drivers mais pas de lignes rouges pour l'instant. On est pas rendu si il scanne tout Program files ;-)

colle dans un doc texte et fais-le parvenir via cijoint

désolé mais je fatigue

http://www.cijoint.fr/cjlink.php?file=cj201107/cijL3izMlF.txt

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).