Infection via la messagerie privé d'un site web

[Nightcall]

Bonjour, et merci pour votre implication.

J'ai été victime d'une attaque de mon navigateur firefox via la boite de messagerie d'un site ou je suis inscrit.
le message était un message admin, j'ai été infecter avant même de pouvoir l'ouvrir, des 10aines de popup sont apparus malgré adblock et adblock popup addon.
Lors de l'attaque, Comodo firewall a bloquer une partie des intrusions, mais la protection en temps réel de mbam a sauter instantanément. J'ai débrancher le câble rj45 rapidement. Tant que c'est le naviguateur qui est toucher, ce n'est pas si grave, mais actuellement il semble que linfection se soit propager et modifie des fichiers system, voir la mbr.

En fait je ne sais pas si c'est du a une fausse manip de ma part ou a un gros Rootkit bien violent qui a rendu le systeme instable. De toute façon je suis infecter par quelque chose.

Pour réparer jai un cd "dell" Windows xp mais c'est le pack sp2, étant au pack sp3 cela risque de provoquer des problèmes apparemment? Donc je n'ai pas tenter de réparation au boot.

Je vais essayer d'expliquer ce que jai fait:

J'avais commencer bêtement par faire une restauration systeme, jai obtenu le message "dossiers et fichiers renommés pour préserver leur fichiers" > fichier liés au profil firefox safebrowsing startupcache offlinecache et au setting.sol de flashplayer dans application data (caché), et plus tard a une dllcache de system32 lors dune autre restauration "msswchx.exe" copier en msswchx.exe.new (je nai pas trouver d'infos sur cette dll) jai trouver cela bizarre et cela a confirmer l'infection, mais n'ayant jamais eu besoin de faire de restauration systeme à la base, jai cliquer sur ok.

jai ensuite passer adwcleaner qui ma trouver des clés de registre et un dossier , mis en quarantaine mais je nai pas supprimer de la quarantaine n'étant pas sur.
voici le premier rapport:
http://pjjoint.malekal.com/files.php?id ... y7z14x10p7
Je pense pouvoir tout supprimer? mais les 2clés avec current setting jai hésité.

Après divers essais, jai fini par me retrouver avec un temps de chargement de mon windows très long, "windows et en cours de démarage" et je fini par arriver sur le bureau, mais plus de barre doutils, plus possible de copier coller, plus de restau, plus de recherche... (lien avec le service apel de procédure distante)

J'ai tenter la commande " sfc /scannow" j'obtenais le message "0x000006ba [le serveur rpc n'est pas disponible].
En allant voir ce service je me rend compte que je ny ai plus accès et quil est arrêter. Jai fini par arriver a le relancer via je ne sais plus quelle commande après lavoir dégriser. Mais il est en local au niveau de l'onglet "connexion" et il me semble qu'il etait et doit être sur réseau? Rapport au profil materiel.
J'avai à nouveau accès aux fonctionnalités windows dépendant de ce service.

Puis après des reboot il c'est a nouveau arrêter et en tentant de le démarrer manuellement j'obtenais l'erreur 1058.

J'ai essayer pas mal de truc via la cmd, mais rien a faire, la seule solution que jai trouver pour réactiver ce service vital, c'est de modifier une valeur dword dans la clé de registre:
HKEY LOCAL MACHINE/SYSTEM/currentcontrolset/HARDWARE PROFILES 0001/system/currentcontrolset/ENUM/ROOT/LEGACY-RPCss/0000

J'ai modifier la valeur dword de "CsConfigFlags" en la passant de 1 a 0.
Ce qui a pour effet d'activé le profil du service RPC matériel par défaut. Donc je pense que c'est comme si je navais plus de profil matériel?
Ce service est ses dépendances fonctionnent donc a nouveau MAIS:

Comodo firewall ne se lance plus au démarrage, (quand j'essai de le lancer depuis les services j'obtiens lerreur "1068" même erreur pour d'autres services.
> Depuis le début je n'ai plus d'accès a msconfig message: (windows ne trouve pas msconfig)
pourtant présent ds les fichiers system

> Lorsque je tente un scan via "mbam" il se lance puis s'arrête "analyse annuler" quelque soit le mode de boot.
jai aussi lerreur 1068 si je tente de lancer le service manuellement.

> jai utiliser une clé usb (oops jaurai du utiliser un cd) pour installer des prog de désinfection, et je remarque que dans cette clé, en plus des exe des prog, il ya des .exe correspondant au originaux mais en caché dune taille de 4 ko! Est ce normal? je pense pas.
javais tenter dinstaller avira, et message "setup.dll missing". (possible que la version que jai récup ne soit pas compatible xp)

javais passer smitfraudfix (il nest plus maj mais bon), qui me disait que la clé LoadAPPInit__DLLS (suite à ça javais tenter de passer sa valeur de 1 a 0 pour voir si ça changeait un truc au boot) était peut être infecter, ainsi que userinit.exe.

Je nai rien remarquer de suspect niveau services via processexplorer.
Je nai supprimer aucun fichier ou clé avec adwcleaner de peur de supprimer une clé importante. Je nai pas non plus supprimer de fichier systeme pour la même raison, et n'ai pas passer dantivirus. jai en stock sur un cd des versions compatibles "esetnod32" et "eset system rescue" (un outil a lancer au boot dont je ne connais pas la fiabilité) ainsi que hijackthis (je nai pas fait de rapport) et autre style tdskiller. Pour l'instant je ne m'en suis pas servi de peur d'effacer des fichiers system au lieu de les réparés et de plus pouvoir booté. Car oui la mon pc boot sans problème et ce depuis le début.

Je ne me connecte plus a internet depuis l'attaque, et jai désormais peur d'utiliser une clé usb, de ma tour a mon portable sur win7 bien que je lai fait avant mais ayant vu ces.exe cachés de 4ko...

Aujourd'hui je ne sais plus trop par ou attaquer le problème, ça m'épuise, je fait donc appel a vous.
- réparer un xp sp3 depuis disque sp2?
Est ce suspect?
- Obtenir le message "dossiers et fichiers renommés pour préserver leurs fichiers" lors dune restauration system?
- .exe cachés de 4ko dans clé usb en plus des originaux?
- Service RPCss en local? ainsi que la clé que jai modifier?
- pas accès a msconfig
- Profil matériel modifier. Quels effet?

Dans quel ordre procéder afin d'éviter d’aggraver encore les choses.


Je pense supprimer tous les fichiers ayant été préservés lors de restaurations, y compris la dll,supprimer les fichiers en quarantaine de AdwCleaner et passer d'autres outils dont un antivirus
je peu vous joindre un rapport de n'importe quel logiciel que je graverai sur cd, vu que de toute façon jai déjà connecter la clé usb a cette ordinateur je men servirai pour poster le rapport.
je commence par rapport hijackthis?

Je voudrais reprendre dans bon ordre, mais je pense avoir besoin d'aide.

Merci, bonne soirée

[Malekal_morte]

Salut,

Tout ce que tu as fait ne sert à rien.
AdwCleaner, c'est pour les adwares.
SmitFraudfix n'est plus maintenu depuis 2010.

Tu devrais désinstaller Comodo, il va apporter plus de problèmes qu'autre chose.

Maintenant, je pense que le mieux serait de réinstaller Windows.

Pour voir :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.