Loup blanc

Bonjour Macsim, Mauvaise nouvelle pour toi, tu es visiblement infecté par une version récente de Virut, une saleté qui infecte, entre autre, tous les fichiers exécutables et invite pas mal d'autres infections sur ton PC. Pour cette infection, la seule solution fiable est le formatage en ne sauvegardant aucuns fichiers exécutable (EXE), html, SCR. Pour vérifier, tu peux faire un contrôle de quelques fichier Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier : C:\windows\explorer.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Refait la même manipulation avec le fichier c:\windows\system32\svchost.exe NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Oui, je parlais bien des résidents. Il n'y a pas de danger à utiliser CHKDSK, c'est un outil fourni par Microsoft pour détecter et réparer les erreurs disque. Par contre il ne peut pas tout réparer, si par exemple un secteur est endommagé et illisible, les données qui se trouvent dessus sont perdue, mais le secteur ne sera plus utilisé à l'avenir. Idem en cas de références croisées (deux fichiers qui utilisent un même secteur), les données ne peuvent réellement appartenir qu'à un seul de ces fichiers, ce qui fait que l'autre sera forcement endommagé.

Pour te permettre d'avancer, voici la procédure à adapter suivant ton OS : Télécharge Combofix sur ton Bureau depuis l'un des liens ci-dessous: Lien 1 Lien 2 Lien 3 Ne l'exécute pas, tu n'en as pas besoin ! Il ne va servir que pour installer la console [*]Télécharge un des fichiers suivants (en fonction de ta version de XP) et enregistrez-le sur le bureau sous son nom d'origine : WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe pour XP PRO ou Media Center ou WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe pour XP familiale [*]Désactive tes antivirus et anti-spyware. [*]Fait glisser le fichier WindowsXP-KB310994-SP2-xxxx-BootDisk-FRA.exe sur le fichier ComboFix.exe et déposez-le. [*]Suis les invites pour lancer ComboFix et lorsque cela te sera demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft. [*]A la fin de l'installation de la console, une fenêtre s'ouvrira te demandant si tu veux continuer le nettoyage, répond "Non" [*]Ferme la fenêtre du bloc-note qui se sera ouverte. [*]Ouvre le menu démarrer puis Exécuter et tape la commande suivante: combofix /u, valide avec OK. Cela va désinstaller Combofix de ton système. [*]Supprime les fichiers Combofix.exe et WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe de ton bureau. Ensuite, redémarre ton PC, Tu verras le menu de boot s'afficher, choisi "Microsoft recovery console". La console te demandera de choisir sur quelle installation tu veux ouvrir une session, normalement cela devrait être la 1 (sauf si tu as plusieurs installations de Windows sur ce PC) Le mot de passe administrateur te sera demandé, si tu en as un, saisis le, sinon appuie sur Entrée directement. A l'invite de la console, tape la commande suivante : chkdsk /P /R, cela va lancer la vérification de ton disque. Un fois la vérification terminée, tape Exit pour redémarrer ton PC.

J'ai aussi oublié de te demander si c'est XP home ou XP pro ou encore Media Center, dés que j'ai cette info je te poste la procédure adaptée à ton OS.

Il y a peu de chances que ce soit les bons, mais tu peux regarder si un d'entre eux contient un bon nombre de fichiers dont l'extension se terminent par un _ xxxx.ex_ ou xxx.dl_ etc. Edit : tu as quelle version de XP : SP1, SP2 ou SP3 ?

Est-ce que tu as un dossier i386 à la racine du disque dur ? (généralement c:\i386\ )

Bonjour Philou22, As-tu a ta disposition un "vrai" CD d'installation de XP ou juste un CD de restauration ?

Bonsoir tout le monde, Ça ressemble bien à un problème de disque. Personnellement je ferais un scan de celui-ci depuis la console de récupération du CD d'XP (chkdsk /P /R), celui fait au redémarrage de Windows est nettement moins efficace en cas de secteurs défectueux.

Pas terrible ces antimalwares, je te conseillerais plutôt d'utiliser Malwarebyte, il est vraiment plus efficace, si utilisé régulièrement. Effectivement ton log de gestion USB peut être la cause du problème.

Il faut que tu protèges les deux OS, donc Antivirus, pare-feu, antimalware sur chacun. Pour ton problème de liste vide dans le gestionnnaire de périphérique USB, est-ce que le disque est bien reconnu dans l'OS hôte ?

Bonjour R-G, Tu n'as pas besoin des Additions client pour l'USB, ça se paramètre dans les propriété de la VM (onglet USB), il faut activer le contrôleur USB (active aussi le support de l'USB2 par la même occasion), puis ajouter les périphériques USB que tu veux utiliser dans la liste en dessous (le disque externe doit être branché) à l'aide de l'icône en forme de + sur la droite. Ensuite en bootant la VM sur le CD de Ghost tu devrais voir le disque externe et si ton image ghost est dessus, tu pourras l'utiliser.

Bonsoir R-G, Tu devait y arriver en enregistrant ton image Ghost sur un disque externe (USB), en ajoutant ce disque dans les propriété USB de la VM, il devrait être accessible depuis le Live CD de Ghost.

Bonjour tout le monde, Danbar72, essaye ceci : Télécharge ce fichier sur ton bureau Fait un double clic dessus Note le message qui s'affiche Si tu obtiens le message "L'opération s'est bien déroulée" "Clé ajoutée..." redémarre ton PC et vérifie la présence de l'icône. Edit : modification du lien.

Bonjour stephbleu, Un détail m'avait échappé, tu dis que tu n'as pas de CD de Windows, as-tu au moins un CD de restauration pour ton PC ? C'est la première chose dont il faut se préoccuper, tu dois avoir sous la main de quoi réinstaller ou au moins de quoi réparer les dégâts. As-tu au moins accès à un autre PC non infecté ? Sinon une chose qui est importante avec les Infections Virut, c'est qu'il faut aller vite et là, ça fait déjà plus de deux semaines...

Bonsoir Splyne, Pour des infections de ce type il n'est pas recommandé de suivre des recommandations faite pour un autre utilisateur, chaque procédure est uniquement adaptée au cas traité. C'est particulièrement valable avec la dernière variante de Virut qui peut prendre des formes très variées. Si ton PC est infecté je t'invite à créer ton propre sujet rapidement si tu n'es pas déjà pris en charge sur un autre forum..

Bonjour Stephbleu, Avant de commencer, regarde tes MP, je t'en ai envoyé un. Pendant la durée de cette désinfection évite d'ouvrir d'autre programmes que ceux que je te prescris, chaque programmes est susceptible de relancer l'infection. Le seul que tu peux utiliser est ton navigateur, pour venir sur zebulon, mais ne vas pas surfer sur d'autres sites. Avant de commencer, tu vas déjà désactiver tous les programmes qui se lancent au démarrage : Ouvre le menu Démarrer puis "Exécuter", dans la zone de sasie, tapes msconfig et valide avec OK Sélectionne l'onglet Démarrage Décoche toutes les lignes présentes, même ton antivirus Valide avec OK Redémarre ton PC Pour commencer la désinfection, on va utiliser Dr Web CureIT : Télécharge Dr.Web CureIt sur ton Bureau: Double clique drweb-cureit.exe et ensuite clique sur Commencer le scan ; Accepte l'analyse de la mémoire et des fichiers de démarrage. Ce scan permet entre autre l'analyse des processus chargés en mémoire ; si il trouve des fichiers infectés, clique le bouton Oui pour tout puis sur sur Désinfecter. A la fin de ce premier scan, clique sur la ligne "Analyse complète" Clique sur le bouton en forme de flèche verte sur la droite, et le scan débutera. Même chose que précédemment, si des fichiers infectieux sont détectés clique Oui pour tout et ensuite clique sur Désinfecter. Lorsque le scan sera terminé, clique sur le menu Fichier et choisis Enregistrer le rapport Sauvegarde le sur ton Bureau. Ferme Dr.Web Cureit Poste le contenu du rapport dans ta prochaine réponse (le rapport peut être ouvert avec Excel), ou joint le, en l'hébergeant sur Senduit (pense à augmenter le délai d'expiration). Ensuite, sans redémarrer ton PC, fait ce qui suis : Attention : Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'utilisation de cet outil. Mal utilisé il peut endommager votre système Télécharge Combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Désactive ton Antivirus avant de commencer et assure toi que tous les programmes sont fermés . Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Combofix va te proposer d'installer la console de récupération, accepte . S'il te demande l'autorisation de redémarrer la machine, dis lui oui. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt. Ces scan peuvent prendre du temps, alors soit patient. J'attends les deux rapports de CureIt et de Combofix

Bonjour, Merci Apollo Stephbleu, si ce n'est pas trop tard on peut tenter encore quelques choses, mais je tiens à te préciser que le formatage proposé par Apollo est probablement la solution la plus rapide et la plus sure. La désinfection de cette saleté, peut prendre pas mal de temps et le résultat est plus qu'incertain, on peut très bien en revenir au même point, voir se retrouver dans une situation qui a empiré. Donc si tu es prêt à te battre, on peut tenter l'aventure.

Bonjour j3ffb, Je ne sais pas trop quelle peut-être la cause du problème, mais j'imagine que si il revient régulièrement après restauration, il faudrait chercher dans les mises à jours déployées récemment. Le problème peut se situer dans la base de registre dans la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\Windows File Protection Valeur : EventMessageFile = %SystemRoot%\System32\sfc_os.dll Si le chemin vers sfc_os.dll à été modifié, ça expliquerait le problème. Pour vérifier les postes concernés, cela peut se faire via la connexion à distance au registre, si cette fonctionnalité est activée sur le réseau ou directement sur chaque poste depuis un Live CD du type UBCD4WIN en chargeant la ruche system (je ne suis pas sur que ce soit celle-ci) dans regedit

Bonjour Todm, Il n'y a pas d'infection visible dans ce rapport, par contre tu as deux antivirus installés : Nod32 et Antivir Tu dois en désinstaller un des deux

Bonsoir Kittylie, Bienvenu sur Zebulon. Ta description de ton problème ne se rapporte pas à une infection mais à une arnaque fréquente sur MSN, tes identifiants ont été récupérés par un pirates qui peut alors se servir de ton compte. La solution pour ce problème passe par une modification de ton mot de passe de messagerie Hotmail et informer ensuite tes contacts qui pourraient avoir reçu des messages de ta part de faire la même chose. Tu peux lire ce sujet de Gof, qui explique très bien ce type d'arnaque : http://forum.zebulon.fr/-t130590.html&...t&p=1249571 Il y a aussi plusieurs entrées qui montrent que Spybot S&D à été utilisé et que plusieurs fichiers infectieux doivent être supprimer au redémarrage. Le scan avec Spybot est-il récent et ton PC a t il été redémarré depuis ? Si ce n'est pas le cas, fait-le, puis poste un nouveau rapport Hijakthis Pour l'instant, fait déjà ceci : Pour commencer, il faut désactiver le Teatimer de Spybot qui empêcherait le nettoyage de certains éléments : Ouvre Spybot Dans le menu "Mode", clique sur Mode Avancé Ensuite dans les menus de la colonne de gauche : Clique sur "Outils", puis sur "Résident" et décoche Résident "TeaTimer" pour le désactiver. Relance HijackThis et clique sur "Do a system scan only" puis coche la ligne suivante : O21 - SSODL: rdihost - {F8D59A17-21D0-46A2-89D7-7724DE89ECFD} - rdihost.dll (file missing) Clique ensuite sur "Fix checked" Redémarre ton PC. Deuxième chose, Il y a des restes de l'antivirus Norton : télécharge ce désinstalleur : ftp://ftp.symantec.com/public/francais/re...emoval_Tool.exe Lance le et suis les instructions. Pour finir : Télécharge Malwarebyte Antimalwares, lance l'installation puis accepte la mise à jour, Ferme le programme, Redémarre ton PC en mode sans échec (touche F8 au démarrage du PC, avant l'apparition du chenillard de Windows)) Lance Malwarebyte Dans l'onglet «Recherche», sélectionne «Exécuter un examen rapide» Clique sur «Rechercher» A la fin du scan, si des malwares ont été trouvés, clique sur «Afficher le résultat», puis clique sur «Supprimer la sélection» . Redémarre ton PC en mode normal. Poste le rapport que tu trouveras dans l'onglet Rapport/Logs avec la date du scan,

Bonjour Dylav, Il reste à faire le ménage dans les outils utilisés : Supprime RSIT, OTMoveIT3, Toolbar S&D et AccessEnum de ton bureau. Pour Javara tu peux le conserver ou le supprimer, c'est à toi de voir.

Bonjour Dylav, Pour l'instant j'avoue que je n'ai plus d'idées sur les causes de ce problème. Reste à savoir si le déplacement du contenu du dossier le résoudra.

Non, les droits sur le dossier Mes documents, ne sont pas suffisants pour savoir ceux qui peuvent être applicable au dossier inaccessible, l'héritage des droits n'est pas une obligation. Scanne dossier-2 et regarde les droits des utilisateurs et des groupes sur dossier-inaccessible par rapport aux autres dossiers et fichiers. Refais ensuite la même chose avec dossier-inaccessible et vérifie les droits sur les fichiers et dossiers qu'il contient.

Là je commence à être un peu à court d'idées, À tout hasard, essaie de vérifier les autorisations sur les fichiers et dossiers avec AccessEnum (Mark Russinovich) Décompresse l'archive dans un dossier puis lance AccessEnum.exe Choisis ton dossier à l'aide du bouton Directory (en haut à droite) Clique ensuite sur le bouton Scan (en bas à gauche) Vérifie si tu ne vois pas d'anomalies dans les autorisations des dossiers ou des fichiers.

Re, Justement cette manip était destinée à savoir si le problème vient d'un des fichiers ou du dossier. J'ai déjà vu des cas semblables et généralement cela venait de l'affichage sous forme de miniatures d'un (ou plusieurs) fichiers. Si ton affichage de ce dossier est paramétré pour les miniatures, modifie celui-ci pour afficher une liste détaillée et teste son accès. Si ça fonctionne, supprime le fichier Thumbs.db qui se trouve dans ce dossier (fichier caché) et repasse en mode miniatures