Malekal's forum

[littlesquirl]

Bonjour,

Après avoir consulté différents site internet (et sans doute étranger) parce que je cherchais des images sur un jeux vidéo, mon pc a commencé à montrer des signes de faiblesses. La quasi totalité de mes application ont disparues, et ils disent que le disque dur a été attaqué.

Je viens ici pour vous demander votre aide.

Merci,

[littlesquirl]

Après avoir rallumé mon ordi, mon antivirus AVira m'annonce qu'il ont découvert un logiciel malveillant suivant :

"dans secteur d'amorçage maître du lecteur secteur d'amorçage maître hd0, un virus ou programme indésirable BOO/tdss.d a été trouvé"

Que dois je faire?

Merci

[angelique]

telecharge sur ton bureau http://support.kaspersky.com/downloads/ ... killer.zip , dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/ ... killer.exe

o execute le , La fenêtre suivante va s'ouvrir::



o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

o Si Suspicious file est indiqué sur par exemple chiffre_aléatoire:chiffre_aléatoire.exe assure toi que l'option delete est sélectionnée

o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

o Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

tutoriel--> http://support.kaspersky.com/viruses/so ... =208280684


Télécharge RogueKiller http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe sur ton Bureau et renomme le dans la fenêtre de téléchargement par winlogon





» execute le option 2, le rapport est sauvé aussi sur ton bureau...poste le.et execute le aussi option 6, poste aussi le rapport.


telecharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau

ou:

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

ou:
http://www.itxassociates.com/OT-Tools/OTL.exe
http://www.itxassociates.com/OT-Tools/OTL.com
http://www.itxassociates.com/OT-Tools/OTL.scr


lançe le (clic droit executer en tant qu'administrateur sous vista|seven)

coche les cases lop & purity check ainsi que en haut all users et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
SAVEMBR:0

→ Cliques sur l'icône "Analyse" (en haut à gauche) .
→ Laisse le scan aller à son terme sans te servir du PC
→ A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
→ Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

tuto : http://www.malekal.com/tutorial_OTL.php

[littlesquirl]

Bonjour

Je n'arrive pas a lancer tdsskiller, meme en mode sans echec.

De plus, quand j'essaye d'allumer l'ordi, il s'éteint en ecran bleu juste apres le logo de windows.

Merci,

[angelique]

essaie celui là : http://anywhere.webrootcloudav.com/antizeroaccess.exe

http://www.malekal.com/2011/08/22/zeroa ... f-remover/

De plus, quand j'essaye d'allumer l'ordi, il s'éteint en ecran bleu juste apres le logo de windows.

il boot pas alors ton systeme d'exploitation??

c'est quoi ton systeme d'exploitation ??

[littlesquirl]

Mon systeme est Windows XP.

Et comme j'ai dit dans le précédent message, l'ordi s'éteint des qu'on l'allume. JE n'arrive meme plus a acceder a mon ordi.

[angelique]

c'est quoi comme style de PC , un pc de marque acheté chez un marchand de nouilles avec une partition de restauration d'usine , ou bien un pc assembleur dont tu possedes le cd d'xp??

[littlesquirl]

La première proposition... Mais pas acheté chez les vendeurs de nouilles!

[angelique]

Donc tu restaures d'usine.

Si tu veux récupérer tes données , utilise ce LiveCD par exemple:

Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

* execute OTLPENet.exe , suis les instructions , il va graver automatiquement le cd bootable
* demarrer sur le cdrom crée de Reatogo , voir exemple: http://forum.malekal.com/booter-sur-dvd-t9447.html


http://imagesup.org/images6/1272203242-otlpe01m.gif


http://imagesup.org/images6/1272203272-otlpe02m.gif


http://imagesup.org/images6/1272203333-otlpe03m.png


http://imagesup.org/images8/1291543684-deskrea.jpg

* Ton système doit montrer un bureau REATOGO-X-PE

[littlesquirl]

Ok. C'est très handicapant comme situation.

Pour récupérer mes données, je le fais avant ou après la restauration. Et je dois avoir de quoi graver ou je peux créer une partition sur mon DD pour stocker les données?

MErci,

[angelique]

Tu 'as pas le choix , BOO/tdss.d c'est du rootkit MBR et sur les pc de marchand de nouilles c'est plus prudent de restaurer d'usine que de remettre une MBR au cas ou que celle ci soit tatouée , du coup plus de possibilité de restaurer d'usine.

Pour récupérer mes données, je le fais avant ou après la restauration. Et je dois avoir de quoi graver ou je peux créer une partition sur mon DD pour stocker les données?

Avant de restaurer d'usine bien sur!!! et pour récupérer tes données via Le liveCD Reatogo , via My computer tu accederas à tes disk , données que tu sauvegarderas sur Support USB.

[littlesquirl]

Bonsoir,

Finalement, j'ai pu restaurer.

A l'ouverture de mon bureau, ce message s'est affiché : "Une erreur s'est produite en sauvegardant le fichier c\windows\system32\ntkrnlpa.exe".

Et il me demande un cd de restauration des applications préinstallées, que je n'ai jamais eu et jamais eu besoin (j'ai deja fait une restauration il y a 2 ans)

Et au moment de rallumer l'ordinateur, je tombe sur l'écran noire qui me demande de quelle manière je souhaite redemarrer mon ordi. et il s'éteint a chaque fois.

Quelqu'un saurait me conseiller? Merci ;p

[angelique]

y'a pas de raison , la restauration d'usine n'a pas du correctement se faire . Tu as fait la restauration en passant par une combinaison de touches au boot du pc ?? voir http://forum.malekal.com/restauration-c ... 29605.html ou bien avec les cd\dvd que tu avais crée avec l'utilitaire le permettant sous windows ??

[littlesquirl]

Avec les combinaisons de touche...
Je vais retenter une dernière fois. Je te donne des nouvelles

[littlesquirl]

J'obtiens tjs le meme message "Une erreur s'est produite en sauvegardant le fichier c\windows\system32\ntkrnlpa.exe".