Virus au boot "Trend ChipAwayVirus"

Bonjour Nathounet91

Si le PC demarre:

Suis cette procédure et poste le résultat du scan

http://www.sosordi.net/Article/137-[...]generer-rapport


Rappel:

Les rapports doivent être postés en lien


En cas de soucis avec cjoint.fr, utilise cjoint.com
http://cjoint.com/

==================================================================================================


S'il ne démarre plus:

- A partir d'un autre PC
- Télécharge OTLPEnet http://oldtimer.geekstogo.com/OTLPENet.exe

- Mets un cd vierge dans ton graveur

- Double clic sur OTLPENet.exe et accepte la gravure du cd
- Redémarre le PC à problèmes avec le CD que tu viens de graver
- Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long

- Si ton PC est connecté en Ethernet tu auras accés au net

- Avec readtogo tu dois avoir un fichier nommé OTL

- Double clic dessus :

- Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes

Citation :

netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start explorer.exe userinit.exe winlogon.exe wininit.exe csrss.exe smss.exe svchost.exe services.exe spoolsv.exe alg.exe ctfmon.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys i8042prt.sys cdrom.sys disk.sys ndis.sys tcpip.sys imapi.sys RDPCDD.sys mountmgr.sys aec.sys rasacd.sys redbook.sys intelide.sys mrxsmb10.sys mrxsmb20.sys termdd.sys mrxsmb.sys win32k.sys storport.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav CREATERESTOREPOINT

- Clique sur le bouton Runscan
- Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
- Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.

- Poste le contenu de OTL.txt en lien en utilisant cet hébergeur http://www.1fichier.com/
- Ce dernier est beaucoup trop grand pour tenir dans une réponse

- Tu as un tutoriel pour OTLPEnet ici http://forum.malekal.com/otlpe-live-t23453.html

Edité par zaede le 24/04/2011 à 19:00

Voilà le rapport :
http://www.cijoint.fr/cjlink.php?fi[...]/cijl5A9IiY.txt

Et merci pour la rapidité.

L'analyse est en cours

Voila la suite:

Relance OTL.exe


- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre bleu de OTL.exe nommé Custom Scans/Fixes

Citation :

:Processes explorer.exe :Files C:\WINDOWS\MusiccityDownload.exe C:\WINDOWS\System32\cis-2.4.dll C:\WINDOWS\System32\issacapi_bs-2.3.dll C:\WINDOWS\System32\issacapi_pe-2.3.dll C:\WINDOWS\System32\issacapi_se-2.3.dll C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} C:\Documents and Settings\All Users\Application Data\{A850D4D9-871B-4234-908D-21C457767270} :Commands [EmptyFlash] [EmptyTemp] [Reboot]

Clique sur Correction

Poste le rapport qui sera généré

Redémarre en mode normal

Il n'y a pas de bouton Correction, il n'y a que Run Fix, Run Scan, et Quick Scan.
Lequel sélectionner ?

Re, c"'est la version anglaise dans otlpenet par defaut
colle les lignes dans le cadre bleu et clique sur RunFix

Ça ne marche pas. Du moins il n'y aucun rapport de généré et windows ne veut toujours pas démarrer, même message : problème de dll.

Voilà quelques imprim écran :
Après avoir fait "run fix" et que se soit terminé : http://img821.imageshack.us/i/79882725.png/
Ensuite j'ai cliqué sur non pour avoir le rapport : http://img40.imageshack.us/i/89984583.png/
Puis : http://img156.imageshack.us/i/89562522.png/
Et aucun rapport ne s'affiche.

Edité par Nathounet91 le 25/04/2011 à 18:53

Re, tu as copié collé ceci dans le cadre bleu au bas d'otl?

Citation :

:Processes explorer.exe :Files C:\WINDOWS\MusiccityDownload.exe C:\WINDOWS\System32\cis-2.4.dll C:\WINDOWS\System32\issacapi_bs-2.3.dll C:\WINDOWS\System32\issacapi_pe-2.3.dll C:\WINDOWS\System32\issacapi_se-2.3.dll C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} C:\Documents and Settings\All Users\Application Data\{A850D4D9-871B-4234-908D-21C457767270} :Commands [EmptyFlash] [EmptyTemp] [Reboot]

Ensuite seulement il faut cliquer sur runfix

Ouai j'ai bien collé le bon truc et j'ai fait comme pour le scan sauf que j'ai cliqué sur runfix.

Ok, tu as le cd d'xp?

on va essayer ceci:

demarre sur le cd d'xp
choisi réparer voir le lien:

http://speedweb1.free.fr/frames2.ph[...]page=outils4#cd

à l'écran suivant choisi 1 puis enter (parfois il faut appuyer sur verrouillage numérique du clavier chiffre)

si tu n'as pas de mot de passe, appuie sur enter

tu arrives dans une fenêtre dos
a l'invite de commande suivante:
C:\WINDOWS>
Tape en respectant les intervalles:

CHKDSK /p /r

Le scan peut durer longtemps. Attend de nouveau l'invite de commande


C:\WINDOWS>

tu tapes fixboot
ce qui donne ceci:
C:\WINDOWS>FIXBOOT
La console propose un choix pour le remplacement, tape: O (oui) puis appuie sur la touche "Entrée"
confirme l'opération si demandé par o (oui)
Voilà, c'est aussi simple que ça.

tu auras de nouveau ceci:

C:\WINDOWS>
cette fois tu tapes fixmbr

C:\WINDOWS>FIXMBR
La console propose un choix pour le remplacement, tape: O (oui) puis appuie sur la touche "Entrée"
confirme l'opération si demandé

Puis une fois que tu as de nouveau l'invite, saisi ceci en respectant bien les intervalles:

C:\WINDOWS>CHKDSK c: /p/r

a la fin du scan qui peut durer deux heures et plus selon les cas, à l'invite de commande tape exit et valide par enter

enlève le cd d'xp et redémarre le pc

Edité par Geronimo le 01/05/2011 à 19:34

Ok merci, beaucoup.
J'essaierai ça demain.

Perfect Windows redémare, merci beaucoup !
Faut il encore faire des scans ou bien mon pc est clean maintenant ?

edit : En attendant j'ai quand même lancé un scan avec ce que j'ai sous la main soit Spybot.
edit 2 : Spybot n'a rien trouvé.

Edité par Nathounet91 le 26/04/2011 à 20:40

spybot est obsolète

Fait une analyse automatique avec avptool en suivant ce tuto

http://www.bibou0007.com/t4609-tuto[...]ol-2010-avptool

J'ai lancé le scan automatique et je suis partis. Quand je suis revenu mon pc était en train de redémarrer et windows vérifiait l'intégrité de mes disques durs.

Puis une fois démarré, avptool m'a dit qu'il y avait un virus sur mon ordinateur. J'ai pas encore fait supprimé.
Comme je sais pas si le scan a terminé, je sais pas quoi faire. Je relance le scan et je supprime toutes les menaces après ou je supprime celle là et je relance le scan après ?

Voilà le rapport :
http://www.cijoint.fr/cjlink.php?fi[...]/cijsY9KAx1.txt

Edité par Nathounet91 le 27/04/2011 à 18:50

Re, ne supprime pas, ce sont des faux positifs
tu as encore des soucis?

Comme le précédent a échoué avant de terminer, je viens de relancé un scan.

Comment savoir si se sont des faux positifs ?

On y viens la


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/t[...]_tdsskiller.exe
http://frades.perso.neuf.fr/Load-to[...]_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)

- Fais redémarrer ton PC

load_tdsskiller restant bloqué la dessus: http://img691.imageshack.us/i/photo0045t.jpg/
sans aucune activité des disques durs, j'ai lancé directement TDSSKiller.exe que j'ai trouvé ici: C:\tdsskiller.
Suite au scan il n'a trouvé aucune infection. Voici le rapport que j'ai trouvé directement sur C:\
http://www.cijoint.fr/cjlink.php?fi[...]/cijEyUvMkU.txt


J'ai la mauvaise impression de faire tout ce que tu me dis mal car à chaque fois ça ne marche pas (OTL, avptool, load_tdsskiller).

Edité par Nathounet91 le 27/04/2011 à 20:43

Il y a quelque chose qui ne va pas la


1. Télécharge combofix.exe (par sUBs) sur le bureau à l'aide d'un des liens ci-dessous:

http://download.bleepingcomputer.co[...]Bs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Installe la console de récupération si cela est demandé en suivant soigneusement les instructions qui s'afficheront


Ferme le navigateur et tous les programmes ouverts
Désactive tous les logiciels de sécurité (antivirus antimalwares spybot etc) et ne clique pas dans la fenêtre pendant l'exécution du scan


2. Fais un double clic sur ComboFix.exe, laisse ensuite le scan se dérouler sans toucher à la souris ni au clavier.


3. Lorsque le scan sera complété, un rapport apparaitra. Copie/colle ce rapport dans ta prochaine réponse.

Le rapport se trouve également ici : C:\Combofix.txt

NOTE:
Combofix peut être détecté par certains antivirus.
Ne pas en tenir compte, c'est un faux positif
Cliquer sur ignorer et continuer la procédure

Ok j'essaye ça demain.

ça marche, je serais la

J'ai relancé un scan avec avptool, celui-ci est allé jusqu'au bout :
http://www.cijoint.fr/cjlink.php?fi[...]/cijvd1gR3s.txt

Pareil j'ai rien supprimé, faut que tu me dise si je peut supprimer ou pas.

Edité par Nathounet91 le 27/04/2011 à 23:02

Re, oui supprime le tout même le premier avec arport avast
Pas sur du tout que ce soit un faux positif

Ok j'ai tout supprimé avec avptool.
Tout c'est bien passé avec Combofix, voilà le rapport :
http://www.cijoint.fr/cjlink.php?fi[...]/cijt9WbUCv.txt

Re, tu as encore des soucis?