Plantage PC suite infection

[ivy]

Je présente tout d’abord mes excuses aux modos : je ne peux pas poster dans le forum adéquat, car tout s’éteint (à cause du nom interdit ^^). J’ai un ami qui est venu hier voir vos réponses et me les a copié-collé : merci à tous 

 

J’essaie de vous donner le maximum de renseignements, ça va peut-être vous sembler un peu brouillon, désolée (je ne m’y connais pas bien du tout) :

Antivirus :

- Avast de base, il ne fait pas les mises à jour jusqu’au bout. Je vois le téléchargement progresser, à son rythme (normal) et tout à coup, on passe direct de 70 à 100% en l’espace d’une seconde : j’ai l’impression que ça « saute » des passages. Lors du scan, pas de souci, je ne suis pas infestée, tout va bien. Sauf que « certains fichiers n’ont pas pu être scannés ».

- Antivir et tous ceux que j’ai trouvés sur le net (Kaspersky etc.) : impossible de mettre à jour. Les scans débutent normalement, mais tous s’éteignent, sans aucun message, au bout d’un moment (5/10 minutes environ).

 

« Logiciel de rapport » ^^ :

- j’ai réussi à télécharger l’install de HJT. Mais impossible à installer, même en le renommant : l’écran cligne, une fois, tout se fige quelques secondes, le bureau disparaît et réapparaît quelques secondes après. Antivir me disait que c’était un ver, le message nommait précisément : C:\WINDOWS\System32\pliftgwd.ver

- j’ai viré antivir.

- Je ne peux même plus cliquer sur l’install, même renommé en ivy.exe, comme vous me l’avez conseillé (merci encore pour vos conseils), et même pour la supprimer : j’ai toujours le même symptôme : écran cligne, bureau disparaît etc.

 

Anti-spy :

- Spybot : me dit que problème avec la mise à jour téléchargée. S’arrête à npjava13.dll. l’écran ne s’éteint pas, tout se fige et il ne se passe plus rien.

- Ad-aware : ne peut pas faire de mise à jour et pour lui, tout va bien, il me félicite ^^

- Ewido : se bloque à npjava13.dll aussi.

- J’ai viré java (je ne sais pas si j’ai complètement réussi à le virer…).

 

Zone Alarm : très long à démarrer. Me met plusieurs fois le message « ZA est en cours d’initialisation, veuillez patienter ». Ça dure environ cinq minutes avant qu’il devienne opérationnel.

 

Easy Cleaner : Il y a une liste de « fichiers inutiles » que je ne peux pas supprimer. La voici :

 

Nom Taille Type Modifié Attr. Version du fichier Version du produit

C:\Documents and Settings\ivy\Local Settings\Historique\History.IE5 0 19/11/2007 07:30:02 S

C:\Documents and Settings\ivy\Local Settings\Historique\History.IE5\MSHist012007111920071120 0 19/11/2007 07:30:02 S

C:\Documents and Settings\ivy\Local Settings\Temporary Internet Files\Content.IE5 0 19/11/2007 07:27:44 S

C:\Documents and Settings\ivy\Local Settings\Temp\Perflib_Perfdata_bdc.dat 16384 Fichier DAT 19/11/2007 07:50:44 A

C:\Documents and Settings\ivy\Local Settings\Historique\History.IE5\MSHist012007111920071120\index.dat 32768 19/11/2007 07:57:18 A

C:\Documents and Settings\ivy\Local Settings\Temp\hpodvd09.log 87314 Document texte 19/11/2007 07:36:10 A

C:\Documents and Settings\ivy\Local Settings\Temporary Internet Files\Content.IE5\index.dat 212992 Fichier DAT 19/11/2007 07:59:40 A

C:\Documents and Settings\ivy\Local Settings\Historique\History.IE5\index.dat 4096000 19/11/2007 07:57:18 A

 

 

 

Mode sans échec : j’ai essayé, sans grand succès. Même symptômes qu’en mode normal. En revanche, j’ai vu qu’il y avait trois utilisateurs : l’admin, moi, et « UfhIZkkIghDD ». Bien évidemment, je n’ai jamais créé ce 3e profil.

 

Après chaque mode sans échec, j’ai un scandisk : en fait un « CHKDSK » (je ne sais pas si c’est la même chose). Tout se passe normalement, juste après avoir vérifié les descripteurs de sécurité, on me dit « Insertion d’un attribut de données dans le fichier 23359 ».

Ensuite j’ai une vérification du journal USN qui se passe bien, mais qd elle est terminée, j’attends au bas mot deux heures sans que rien du tout ne se passe. Ce matin, j’ai attendu 2 h 30 : j’ai décidé de rebooter et de zapper le CHKDSK. Est-ce que cette attente est normale ?

J’ai réessayé de faire un mode sans échec avant de poster ce message, j’ai un prompteur sur une fenêtre noire pendant dix minutes, sans rien d’autre (-> j’ai rebooté…).

 

 

La tour « sonne » dès que j’engage un processus de sécurité, au bout de cinq minutes de scan environ. Une sonnerie sombre, qui vient du bas de la tour, on dirait une sonnerie de téléphone occupée, en un peu plus lent. Ensuite, souvent, tout se fige et je reboote…

Un ami me suggère qu'il pourrait s'agir d'un problème matériel. Qu'en pensez-vous ?

 

Process Explorer : je ne peux pas virer de processus, ça me dit « accès refusé » (je n’ai plus accès depuis longtemps au gestionnaire des tâches, bien que j’ai essayé, sans succès, la procédure conseillée par zébulon pour la remettre en route).

Voilà ce qui tourne :

 

Process PID CPU Description Company Name

System Idle Process 0 91.04

Interrupts n/a 1.49 Hardware Interrupts

DPCs n/a Deferred Procedure Calls

System 4

smss.exe 888 Gestionnaire de session Windows NT Microsoft Corporation

csrss.exe 936

winlogon.exe 960 Application d'ouverture de session Windows NT Microsoft Corporation

services.exe 1012 Applications Services et Contrôleur Microsoft Corporation

svchost.exe 1204 Generic Host Process for Win32 Services Microsoft Corporation

svchost.exe 1368

svchost.exe 1524 Generic Host Process for Win32 Services Microsoft Corporation

wscntfy.exe 3360 Windows Security Center Notification App Microsoft Corporation

svchost.exe 1600

svchost.exe 1816

aswUpdSv.exe 2012 avast! Antivirus updating service ALWIL Software

ashServ.exe 212 avast! antivirus service ALWIL Software

spoolsv.exe 852 Spooler SubSystem App Microsoft Corporation

Adobelmsvc.exe 1504 System Level Service Utility Adobe Systems

guard.exe 1632 AVG Anti-Spyware guard GRISOFT s.r.o.

MDM.EXE 1348 Machine Debug Manager Microsoft Corporation

nvsvc32.exe 1880 NVIDIA Driver Helper Service, Version 61.77 NVIDIA Corporation

SMAgent.exe 2116 SoundMAX service agent component Analog Devices, Inc.

svchost.exe 2188 Generic Host Process for Win32 Services Microsoft Corporation

wdfmgr.exe 2292

ashMaiSv.exe 2776 avast! e-Mail Scanner Service ALWIL Software

ashWebSv.exe 2988 avast! Web Scanner ALWIL Software

alg.exe 3768

lsass.exe 1024 LSA Shell (Export Version) Microsoft Corporation

rundll32.exe 632 Exécuter une DLL en tant qu'application Microsoft Corporation

SMTray.exe 640 SoundMAX System Tray Analog Devices, Inc.

WinPatrol.exe 684 WinPatrol System Monitor BillP Studios

ashDisp.exe 920 avast! service GUI component ALWIL Software

hpwuSchd2.exe 1296 Hewlett-Packard Product Assistant Hewlett-Packard Co.

zlclient.exe 1456 ZoneAlarm Client Zone Labs, LLC

vsmon.exe 3716 TrueVector Service Zone Labs, LLC

avgas.exe 1652 1.49 AVG Anti-Spyware GRISOFT s.r.o.

jusched.exe 1684 Java Platform SE binary Sun Microsystems, Inc.

hpqtra08.exe 1804 HP Digital Imaging Monitor Hewlett-Packard Co.

hpqste08.exe 2304 HP CUE Status Hewlett-Packard Co.

explorer.exe 3960 1.49 Explorateur Windows Microsoft Corporation

procexp.exe 3600 4.48 Sysinternals Process Explorer Sysinternals

iexplore.exe 2444 Internet Explorer Microsoft Corporation

notepad.exe 1692 Bloc-notes Microsoft Corporation

 

En tout cas, merci infiniment pour vos conseils et votre patience. Si vous pensez que c’est désespéré, n’hésitez pas à me le dire. Au point où j’en suis ^^

[Greywolf]

topic original: http://forum.zebulon.fr/index.php?showtopic=133985

 

le titre du sous-forum Analyse, rapport HJT fait planter ton PC?

[ivy]

topic original: http://forum.zebulon.fr/index.php?showtopic=133985

 

le titre du sous-forum Analyse, rapport HJT fait planter ton PC?

oui exact.

j'ai le fichier d'install sur mon bureau, renommé, je ne peux même pas passer ma souris dessus ( ), ça fait planter l'ordi. c'est le seul fichier/dossier/programme qui entraîne une réaction aussi violente.

 

bon, j'ai eu cette fenêtre toute noire en MSE, pendant une demi-heure, et puis... la lumière s'est faite

j'ai bidouillé tout l'après-midi, pour une fois que j'avais le mode MSE

 

- rapport avg anti-spy : rien

- rapport spybot (pas à jour !!!!! je ne peux pas faire les MÀJ) : il y a "Premium Search" qui ne veut pas partir et je n'ai pas trouvé le chemin d'accès (ça me mettait une fenêtre "blanche").

- avast n'a rien trouvé, j'ai fait un scan minutieux. Mais !!!! il y a une quinzaine de fichiers qu'il n'a pas pu scanner. je lui ai demandé de les déplacer, et l'ordi a planté ("en réaction" je pense).

- j'ai bidouillé, j'ai jeté des trucs. j'attends de vider ma corbeille. Mais ! encore une fois, il y a du neuf : j'ai pu faire une vraie MÀJ d'avast, c'est la première fois depuis au moins un mois

(et au passage, j'ai vu que les MÀJ automatiques et la protection résidente avaient été désactivées, pas par moi bien entendu...).

à propos des fichiers qu'il n'a pas pu scanner, il m'a demandé s'il devait les renommer avec une extension .vir avant de les déplacer, je ne l'ai pas fait, j'attendais vos bons conseils.

 

bref, il y a du neuf. si ça se trouve, demain, je réussis à vous sortir un vrai rapport de * beeeeeeeeeep *.

 

merci pour tout, parce que franchement, sur zebulon, on trouve des conseils super extra !

[ivy]

ok les amis. en cherchant Premium Search dans google, je suis tombée sur un forum anglais où un gars a exactement les mêmes problèmes que moi (dès qu'il fait une opé de sécurité, tout si fige, s'éteint et on le renvoie sur son bureau).

les gens lui donnaient des liens. ce n'est pas un simple spy, ça semblerait bien être un virus dont un des noms peut être Sdbot.

une page de microsoft très intéressante à ce sujet (en espérant que ce soit bien celui-là) :

http://support.microsoft.com/kb/897079

 

j'essaie de faire les opérations qu'ils préconisent, et je vous tiens au courant

 

 

En essayant continuellement on finit par réussir.

CQFD

[ivy]

je confirme, c'est sdbot :

 

http://www.secuser.com/alertes/2003/sdbot.htm

 

je l'ai trouvé hier dans la base des registres. je l'ai éliminé, partout où je le voyais, et j'ai exécuté les commandes préconisées par microsoft. mais il est encore là, probablement sous un autre nom, et je n'arrive pas à l'avoir et je ne peux toujours pas me servir de HJT, évidemment.

apparemment, stinger l'élimine, sauf que stinger ne s'exécute pas jusqu'au bout...

 

j'ai une question : j'ai certains fichiers qu'avast ne peut pas scanner, ni déplacer (là, ça bloque, la fenêtre s'éteint sans message). ce sont des fichiers temporaires de IE5. je pense qu'ils ont un attribut qui m'empêche de les déplacer ou de les renommer etc. y a-t-il une façon de forcer ces actions ?

 

merci.

[LoGiC]

un petit "up" pour un sujet qui m'interesse beaucoup.

 

@+

[TheGhostRider]

ivy

 

Pour savoir :

 

Que fait tu pour être arrivé a avoir un pc aussi vérolé que tu ne peut même plus installer de programmes et mettre à jour les logiciels de sécuritée ? Tu fait du p2p toute la journée ? Tu cherche des cracks de jeux/logiciels ? Sites pornographiques ? Tu n'a jamais utilisé de firewall ni d'antivirus ?

 

Car la , même après de nombreuses aides , il est probable qu'il te restera toujours quelques problèmes de fonds ( surtout si ton registre est gravement touché , ce qui pourrait être le cas , et ceci te conduirait à peut être reformater ou effectuer une réparation de windows avec ton cd de windows original , si ta copie de windows n'est pas crackée bien sûr . . . )

 

[ivy]

salut.

 

je peux dorénavant poster dans le forum approprié, merci aux modos pour leur compréhension.

 

euh, je suis une brave ménagère de près de 40 ans, alors le p2p, les cracks de jeux/logiciels, les sites porno, ce n'est pas trop pour moi, hihi

et bien entendu, j'ai un firewall et un anti-virus (ZA et avast).

 

j'ai posté mon rapport hijackthis dans le forum approprié :

http://forum.zebulon.fr/index.php?showtopi...p;#entry1136760

et j'y ai exposé un nouveau problème qui se pose à moi : je n'ai plus accès à mon bureau, ni à la barre des tâches, ni au bouton démarrer. j'appelle les programmes via process explorer. vous avez une idée de comment je pourrais tout réafficher normalement ?

 

merci infiniment pour votre aide