[RESOLU] infecté par "rootkit.zeroAccess".gravement

par **claudiaD** » 18 Oct 2011, 19:30

Bonjour,
Voila je ne sais pas si mon cas n'est pas désespéré, mais bon au cas ou...je vous expose les faits:
pc portable vaio sous vista familiale premium.

Depuis que la version de mon antivirus(nod32) a expiré j'avais installé microsoft essential security. Puis les pages internet(sous firefox) étaient redirigées vers des pages de pub.

Je décide d'installer version5 d'essai de NOD32.après avoir détécté 2 virus il m'a laché:"plus d'acces au noyau".Après plusieurs tentatives de désinstallation/réinstallation de cet antivirus et d'autres, Avast a fini par me sortir plusieurs infections dont 1 sur c\windows\.....(plein de chiffres)...et plantage.

je tape donc"patched-WQ" et j'arrive à vous, voyant que d'autres avaient le même soucis.

J'ai essayé de suivre le étapes du sujet"Mivolo et plus peut être" posté par veromqt le 29/09/2011: installer "roguekiller", kapersky TDSSKiller mais il a planté avant de finir le scan, j'ai alors installé et lancé "combofix" qui a detecté "rootkit ZeroAccess" et la.....tout se complique : il a du fermer et depuis je ne peux plus ouvrir ma session parce que je n'ai plus que la souris qui marche et pas le clavier....impossible de rentrer le mot de passe!!!!

Ce matin j'avais créé un compte invité sans mot de passe mais la fenêtre de "combofix" bug et se déplace toute seule.

voila!!! j'ai les rapports de "roguekiller" mais il faudrait m'aider déjà a ouvrir ma session!!!

J'espere avoir été assez clair et j'esere que tout n'est pas perdu!!! Merci de m'aider s'il vous plait.....

par **claudiaD** » 18 Oct 2011, 22:04

Bonsoir

Alors j'ai fini par réussir à ouvrir le compte invité et combo fix a cessé de se balader! mais il ne fait plus rien! échec...
par contre j'i pu accéder au panneau de config et état du clavier est: Ce périphérique ne peut pas démarer.(code10)...

Voilà pour l'instant, je ne touche plus à rien et j'attends votre aide.Trop peur d'aggraver la situation....

Demain je serai là dans l'après midi si vous avez des questions.

Bonne soirée à tous....bien qu'apparament ce soir il n'y ai personne!!!!! :dodo:

par **MoJac** » 19 Oct 2011, 10:02

Bonjour ClaudiaD,

Bonne soirée à tous....bien qu'apparament ce soir il n'y ai personne!!!!!

- Effectivement, nous sommes bénévoles avec nos propres contraintes ...

- La situation semble assez délicate. Les chances de succès actuellement difficiles à mesurer. Nous allons essayer.

:att:

En supposant que ce soit possible la désinfection risque d'être longue et laborieuse (cf veromqt).
Pas d'impatience, il faudra tenter de rester Zen. :saint:

les analyses peuvent prendre du temps, nous avons parfois la nécessité de discuter entre nous des meilleures tactiques ...

Essayons de faire le point:

Avast a fini par me sortir plusieurs infections dont 1 sur c\windows\.....(plein de chiffres)

- As tu la possibilité d'avoir le texte exact de ces chiffres ainsi que l'endroit où il a été trouvé ?

Par exemple: C:\WINDOWS\134096930:3721855480.exe

Donne ce que tu peux ...

- Peux tu démarrer ta machine en mode sans échec (et si possible avec prise en charge réseau) ?

topic93.html

dans ce mode as tu accès au clavier ?

- As tu une autre machine (je suppose que oui ...) depuis laquelle tu pourrais télécharger éventuellement des outils ?

A plus.

par **claudiaD** » 19 Oct 2011, 15:44

Bonjour Mojac
Le texte exact que j'avais pris soin de noter est:C/windows/30489951.51:2953200714.exe infecté par win32:tring.AMB(R+K)
j'ai aussi eu le temps de noter:
-program files/sony/vaio/power management/SPM service.exe infecté par patched-WQ et Malware-gen
et des fichiers perso infectés par Serefel-AO(RTK).

J'ai pu demarrer en mode sans échec mais toujours pas accès au bureau car pas de clavier pour le mot de passe administrateur, par contre j'ai effectivement une autre machine si besoin(celle d'ou j'écris!!).
Encore et déja merci de prendre du temps pour moi...

par **MoJac** » 19 Oct 2011, 16:54

Re:

- Cette histoire de clavier est préoccupante et risque de nous gener sérieusement.

... j'ai pu accéder au panneau de config et état du clavier est: Ce périphérique ne peut pas démarer.(code10)...

- Il faudra tenter de réinstaller ce pilote. Pour le moment tant qu'on ne peut pas lancer de session admin ce n'est pas possible. Il en est de même pour tous les outils susceptibles de pouvoir être utilsés pour tenter quelque chose.

Quelques questions encore pour essayer d'avancer:

- As tu un lecteur/graveur de CD/DVD sur la machine en panne ? Si oui saurais tu booter sur ce support (par sélection du support de démarrage via touche F12 probablement) ?

- As tu aussi un graveur de CD/DVD sur l'autre machine ?

- As tu un autre clavier USB susceptible de se connecter à la machine en panne. Si oui essaie de le connecter sur un port USB et redémarre la machine ...

A plus tard

par **claudiaD** » 19 Oct 2011, 17:56

Re

j'ai bien un lecteur cd/dvd sur les 2 machines mais pas de clavier USB. Est-ce qu'il faut que je prévois de récupérer un DD externe? je suppose que oui!!!!! je vois aussi si je peux me faire prêter un clavier externe.

En ce qui concerne le "boot" ben... :hein:

je connais un peu le terme et j'ai même repérer que j'ai un des CD d'installation ou ce mot est écrit mais .....désolée je ne sais pas ce qu'il faut faire.... :chaispas:

.Ceci dit si tu m'explique je peux toujours essayer, je ne demande qu'à apprendre.....De toutes façons vu les circonstances je suis pendue à ton clavier!!!!!
à plus tard, je vois ce que je peux faire rapidement pour le clavier.

par **MoJac** » 19 Oct 2011, 18:01

Re:

Ne te casse pas trop la nénette avec le clavier USB. Ce n'est absolument pas sûr que ça marche.

OK pour la présence des graveurs de CD/DVD :ok:

On regarde entre nous différents cas de figures à proposer.

Un peu de patience :voila:

par **Marie** » 19 Oct 2011, 18:01

Bonjour ClaudiaD, Mojac :sourire:

@ClaudiaD: On va essayer de te faire remonter un point de restauration système. Tu retrouveras l'infection mais aussi un clavier en état de marche. Ensuite, Mojac pourra t'aider à désinfecter ton PC. :wink:

Dans un premier temps essaie de démarrer sur la console de réparation qui est préinstallée sur ton PC.
Si ce n'est pas possible on fera différemment.

:arrow:

Tout d'abord, il faut que tu trouves l'environnement de réparation de Vista qui est préinstallé sur ton PC.

Pour ça, tapote plusieurs fois la touche F8 au démarrage de la machine (juste après que le logo du constructeur se soit effacé) jusqu'à tomber sur un menu qui ressemble à celui-ci:

Je n'en suis pas sûre mais je pense qu'à ce stade ton clavier fonctionne encore. Si ce n'est pas le cas reviens nous le dire.

Toi, tu dois avoir une ligne supplémentaire: Réparer l'ordinateur

Sélectionne cette ligne et laisse toi guider jusqu'à tomber sur un menu qui ressemble à celui-ci:

Sélectionne Restaurer le système
Choisis un point de restauration se situant 2 jours avant l'installation de la version d'essai de Nod32
Une fois le point de restauration remonté, redémarre Vista normalement et reviens nous dire si tu as récupéré ton clavier.

par **claudiaD** » 19 Oct 2011, 18:42

Bonsoir Marie

Et merci de te joindre à nous!
C'est super ton truc marche, je suis bien sur la fenêtre de restauration mais le point de restauration le plus loin est le 17/10 et effectivement c'est la galère qui continue....aucun point existant ne fonctionne.... :triste:

je les ai tous essayés.On attend que je trouve un clavier je suppose??

par **claudiaD** » 19 Oct 2011, 18:48

J'avais pas vu le message de Mojac mais je pense que le clavier peut marcher car je peux utiliser la souris sur l'USB.....j'ai lancé un appel sur facebook!!!

par **Marie** » 19 Oct 2011, 18:52

On va essayer autre chose:

:arrow:

Redémarre sur la console et dans le menu choisis cette fois Invite de commande.

Saisis la commande suivante :

sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows

La commande est assez longue à saisir, veille à placer les <espaces> au bon endroit:

sfc<espace>/scannow<espace>/OFFBOOTDIR=C:\<espace>/OFFWINDIR=C:\windows

le caractère"\" s'obtient en appuyant à la fois sur la touche altGr et la touche 8 du clavier standard (pas le "8" du clavier numérique).
La réparation commence et peut durer un certain temps. Patiente!
Lorsqu'elle est terminée, le résultat de la réparation s'affiche:

Donne nous le message retourné.
Si elle te dit que des fichiers ont été réparés, redémarre Vista normalement et dis nous si tu as retrouvé ton clavier.

par **claudiaD** » 19 Oct 2011, 19:42

La protection des ressources Windows a trouvé des fichiers endommagés, mais n'a pas réussi à tous les réparer. des détails sont inclus dans le journal CBS.log vindir\Logs\CBS\CBS.log. Par exemple C:\windows\logs\CBS\CBS.log

Voilà. maintenant je ferme la fenêtre et je redémarre?

par **Marie** » 19 Oct 2011, 19:50

Oui, redémarre. Avec un peu de chance il aura réparé les fichiers qui nous intéressent. On croise les doigts ....

par **claudiaD** » 19 Oct 2011, 19:51

Ben non toujours pas mon clavier....

par **Marie** » 19 Oct 2011, 20:17

OK! On va essayer un autre truc alors.

On va partir de l'hypothèse que c'est ComboFix qui a supprimé un fichier infecté utile à ton clavier. Ce n'est d'ailleurs pas forcément le cas puisque Nod32 et Avast ont mis des fichiers en quarantaine eux aussi. Mais bon ... Il faut bien commencer par quelque chose.

:arrow:

Tu vas graver un Live CD Ubuntu en suivant le début de ce tuto.
Suis bien les consignes pour graver le CD. Grave le à vitesse lente et en utilisant la fonction "Graver une image" de ton logiciel de gravure.

Une fois le CD créé, tu le mets dans ton lecteur et tu redémarres le PC.
Le CD va se charger en mémoire. Patiente, ça peut prendre quelques minutes.
Choisis le français pour langage puis Essayer Ubuntu.

:att:

Ne sélectionne pas Installer Ubuntu car tu écraserais ton installation Windows.

:arrow:

Une fois sur le bureau d'Ubuntu recherche ta partition Windows, ouvre la et recherche le fichier qui s'appelle ComboFix.txt. Ouvre le et copie-colle tout son contenu dans ta prochaine réponse.
:att:

Sous Ubuntu tu peux accéder au net via Firefox (du moins si tu es branché en éthernet sur ton modem sinon il faudra rentrer la clé de protection réseau).

L'interface de la dernière version d'Ubuntu a changé depuis la rédaction du tuto. Tu risques d'être un peu perdu par rapport à ce qui est écrit. Je te prépare une procédure pour t'expliquer comment monter ta partition Windows mais ça va me prendre un peu de temps. Toi, de ton coté, grave le CD. :wink: