Salut.

Première chose à faire, c'est déjà de faire un nettoyage disque dur via Démarrer puis Poste de travail, et clic droit sur le Disque local C: (Propriétés)

Nettoyage de disque (onglet général) après le calcul tu auras la possibilité de virer tout ce qui est inutile. Attention à ne pas compresser le volume. Mais tu as aussi le volet Autres (je crois) avec 3 possibilités. Dont celle du bas, et qui est intéressante, puisque tu peux récupérer de la place sur la restauration. Le clic sur ce bouton va te permettre de vider les points de restauration à l'exception du dernier créé.

Si tu as un disque externe, transfère donc tes données dessus, là encore tu va récupérer pas mal de place.

Pour vérifier si tu n'as pas de virus ou autres cochonneries, faire une analyse en ligne, i ne faut pas se fier exclusivement à l'antivirus installé.

Si le nettoyage de disque a libéré beaucoup de place, penser aussi à faire une défragmentation (en mode sans échec)

Voilà déjà les premières pistes.

Je reprends et résume la suite des évènements, afin que les lecteurs comprennent bien.

Nous avons travaillées en liaison via mIRC et la salle du forum et à partir de 15h00.

Prise en compte et préparation avant recherches d'infections. Il faut désactiver le résident de Avira.

A) Passage de l'outil RustbFix (ejvindh) qui va débarrasser le système du rootkit xpdx.sys

B) Recherches avec

1) Navilog1 (Il-Mafioso)
2) SmitFraudFix (S!Ri)

C) passage en mode sans échec pour désinfection des occurences trouvées par navilog et smitfraudfix.

D) passage de confirmation nettoyages via ComboFix

E) Installation grâce à Combofix de la Console de récupération Windows.

Pour rappel, il faut aller prendre le fichier chez Microsoft.

1. Cliquez sur le lien ci-dessous pour aller sur le site Web de Microsoft:
   
   http://support.microsoft.com/kb/310994
   
   
2. Surcette page, descendez jusqu'à "Téléchargement du fichier programme desdisquettes d'installation" et cliquez sur le téléchargementcorrespondant à votre version de Windows XP (Édition familiale ouProfessionnel) et au Service Pack que vous avez installé.
3. Après la fin du téléchargement du fichier Microsoft, vous devez faire glisser ce fichier sur l'icône de ComboFix et le déposer enrelâchant le bouton de la souris. Comme le montre l'image ci-dessous:
   
   
   
   
   
4. ComboFix va installer cette console.
   

F) Finalisation du nettoyage et désinfection à l'aide d'un script pour ComboFix.

G) Mise en place de ATF-Cleaner, ainsi que l'ajout de l'onglet sécurité pour les propriétés des fichiers et dossiers.

H) Création d'un nouvel utilisateur sous compte administrateur.

I) Bascule du compte originel en compte standard et optimisation de l'ensemble.

Le tout aura duré environ 3 heures.

Cheyenne dispose à présent d'une machine sécurisée, et devrait être un peu plus tranquille à l'avenir.

Copier puis coller ceci dans un nouveau document notepad. Ce document doit avoir pour nom CFScript.txt (attention, en bas du document il doit y avoir une ligne vierge, mais pas en début de document)

Après ça il suffit de glisser le fichier comme sur le gif en dessous (combofix va démarrer automatiquement.)

Salut.

Non ce n'est pas fini, hélas.

SmitFraudFix

à lancer simplement et option 1, je voudrais le rapport. Ne rien faire d'autre pour l'instant.

Dégager Spybot, ces outils ne servent plus à grand chose. j'analyse les rapport un peu plus en profondeur. Il me semble aussi avoir vu du navipromo...

navilog1 (exécutable)

à mettre sur le bureau mais sans y toucher encore, ou après analyse de l'outil de S!Ri, simplement faire une recherche avec navilog1

Il me faut les rapports (smitfraudfix et navilog). Important !!

Kaspersky risque de se mettre en travers des outils. Désactiver avant de télécharger et de lancer.

Les fix

1 Activer l'autostart.



2 Désactiver l'autostart

Salut.

Cheyenne: ça fait 12 jours + 2 jours que tu te permets d'utiliser un système rootkité. Il me semble que tu n'es pas trop pressé de t'en débarrasser, dis moi.

Utiliser rustbfix ainsi. le mettre sur le bureau. Impérativement fermer toutes fenêtre ouverte du bureau. 1 voire 2 redémarrages seront fait et automatiquement. Patienter.

Après ce(s) redémarrage(s), deux fenêtres du Bloc-notes vont s'ouvrir,contenant les rapports C:\avenger.txt et C:\rustbfix\pelog.txt

Copier, puis coller les 2 rapports.

Gmer, il faut savoir s'en servir pour bien l'utiliser, mais surtout tu ne dois pas faire d'erreur. J'aurais préféré une utilisation de ComboFix, parce que le rapport qu'il va faire est plus complet, déjà et va permettre de voir un peu plus loin ce qui est à l'origine de ce rootkit.

ComboFix

Il sera à mettre sur le bureau impérativement. Puis double clic dessus pour le lancer. Fermer avant cela toutes les fenêtres ouvertes, et surtout patienter. Ne pas toucher à la fenetre bleue, tu risquerais de tout perdre. Si la machine doit être redémarreé, tu auras une demande en ce sens. Combofix travaillera une fois redémarré, et tu auras un rapport. Copier coller ce rapport ici, je le veux dans son intégralité. Et si possible pas dans 15 jours...

Si tu suis mes recommandations, choisir juste une des 2 méthodes, soit rustbfix, soit ComboFix

Et voilà, comme je le pensais, tout va biengggg

Bon là sous OpenSUSE 10.3 et donc en x86_64 ainsi que Konqueror, j'ai un bug dans l'éditeur. Quand je veux répondre rapidement, tout va bien, mais dès que je veux prendre l'éditeur avancé, j'ai un tout petit cadre et je ne vois pas le mot (lien) wysiwyg...
Je reviens sous Mozilla Firefox.

Yoooo

Bon, je vais de mon côté pouvoir faire les tests sous Vista (une fois remis en place), puis sous XP (là encore une fois remis en place) mais aussi sous Firefox et Konqueror (une fois ma OpenSuse 10.3 x86_64 en place aussi)

Je me suis payée un Samsung 22 pouces (1680*1050) et j'ai boosté ma machine de 2.66 GHz à 3.0 GHz

Bref, vous l'aurez compris, je m'amuse un max avec ma machine de guerre

Bonjour.

Ajoute moi à ta liste de contacts MSN

xx@gmail.com

nous allons utiliser l'assistance à distance.