[RESOLU] Trojans : win32.buzus.fit et ...staline

[Manduline]

Bonjour,

 

Mon pc vient de se choper un trojan ou 2 !!!!

Kaspersky me les a détecté suite à l'ouverture d'un .exe. Je sais c'est une erreur de débutant, mais dans l'urgence on fait des fois n'importe quoi...

 

Mon pc n'arrête pas de redémarrer : que ce soit en mode sans echec ou en mode normal. (là, je suis sur l'autre)

Je ne peux donc pas utiliser HijackThis.

 

Comment puis-je réparrer cette connerie sans reformater ?

 

Par avance merci beaucoup !

 

 

Manduline

Modifié le 9 juin 2008 par Manduline

[Loup blanc]

Bonjour Manduline,

 

Est-ce que le démarrage de Windows ne se termine pas ou bien tu arrives quand même sur ta session avant le plantage ?

[Manduline]

Bonjour Manduline,

 

Est-ce que le démarrage de Windows ne se termine pas ou bien tu arrives quand même sur ta session avant le plantage ?

 

 

En mode normal :

je vois la page de téléchargement windows, ensuite j'ai la page de sélection de la session et quelque soit l'utilisateur que je sélectionne, il reboute. Dès fois il reboute aussi avant d'arriver à cette page.

 

En mode sans échec :

je n'arrive pas jusqu'à la page du choix des utilisateurs. je bascule ensuite sur l'ecran bleu : "Windows Critical error system" me disant que je dois redemarrer mon pc avec une ligne en bas de l'écran qui indique le vidage de la mémoire physique et qui fait un décompte jusqu'à 100 (très rapide). Arrivé à 100, le pc redemarre.

[Loup blanc]

Visiblement tu vas devoir réparer Windows à partir du CD d'installation.

En as-tu un à ta disposition (je parle d'un "vrai" CD de Windows, pas d'un disque de restauration) ?

 

Tu as quelle version de Windows : 2000, XP, Vista ?

[Manduline]

J'ai XP.

 

J'ai le CD d'installation du portable, celui sur lequel je suis. Mais pas de ma tour, il n'était pas fourni.

Ca pose un problème ?

[Loup blanc]

Si ton CD du portable est bien un CD d'origine Microsoft et pas une simple restauration d'usine et que sa version correspond à celle de ton PC fixe (XP Home ou Pro, version OEM, boite ou Corporate) alors oui il peut faire l'affaire.

 

Pour ton PC fixe, tu as surement un utilitaire qui te permet de réaliser les DVD de restauration, mais il faut que le PC soit en état de marche bien sûr.

C'est une chose à faire dés l'achat du PC

 

Si ton CD du portable ne convient pas, tu peux essayer d'en emprunter un dans ton entourage.

[Manduline]

Je ne sais pas si j'ai exactement la même version, je sais juste que ce sont 2 XP Home. C'est si important ?

 

Est ce que tu pourrais me dire en gros ce qui va se passer une fois que j'aurais mis le CD ? et ce que je vais devoir faire ?

 

Est ce que je fait perdre mes données ?

 

Sinon, un copain m'a conseillé de mettre mon DD en externe sur mon portable pour le scanner et virer le trojan comme cela. Est ce que ça marcherait ? est ce que ça réparerait Windows ? Est ce que ça infecterait mon portable ?

 

Merci,

 

Manduline.

[Loup blanc]

Bonjour,

 

C'est déjà une bonne chose si c'est tous les deux des XP home, pour savoir le type de CD que tu as, il faut lire ce qui est marqué dessus, si tu vois marqué "Restauration" ce n'est pas ça qu'il te faut, sur les CD microsoft, tu doit voir Winows XP familliale (ou Home) avec éventuellement l'indication du service Pack.

La surface de ces CD est rose/orangée.

 

Avant d'attaquer la procédure de réparation, il faut déjà être sur que tu as le bon CD

Pour les explications un tuto est encore le mieux : Tuto de Malekal

 

Tu ne perdras pas tes données si tu fait une réparation de Windows, ça se passe comme pour une installation, mais à l'arrivée, toutes tes données et tous tes logiciels sont toujours en place.

 

Pour la solution donnée par ton copain, c'est une possibilité si tu as le matériel adapté (boitier de disque USB ou au moins un convertisseur IDE/SATA/USB).

Il faut juste faire attention de ne rien lancer depuis ce disque pour éviter d'infecter ton portable.

Mais même si le disque est désinfecté, ce n'est pas garanti que Windows redémarre comme il faut.

[Loup blanc]

Bonjour,

Je poursuis ici, c'est plus facile pour le suivi que par MP

 

Ca y est c'est fait ! Ca a bien gardé mes sessions mais dès que j'en choisi une, j'ai l'écran bleu et il redémarre

Tu n'aurais pas une autre idée ?

 

Est-ce que tu as la possibilité de brancher ton disque sur ton portable pour faire ce que t'as conseillé ton ami ?

Pour le brancher, tu as besoin soit d'un boitier de disque externe, soit d'un adaptateur IDE/SATA>USB,

Avec l'adaptateur, c'est plus simple, il n'y a pas besoin de démonter le disque, il suffit de débrancher ses connecteur puis de branché l'adaptateur.

 

 

Pour le problème d'entrée en session, tu peux regarder ces procédures de Pear qui permettent de résoudre les problèmes de modification de la clé Winlogon dans la BDR.

 

Windows ne charge pas mes paramètres personnels et je retombe sur l'écran d'ouverture de session :

- Méthode n°1 :

Vous revenez sur l'écran d'ouverture de session juste après l'apparition de la fenêtre Chargement de vos paramètres personnels... Le même problème se pose quelque soit le compte d'utilisateur sur lequel vous tentez d'ouvrir une session.

1) Démarrez à partir de la Console de récupération.

2) Saisissez ces commandes :

cd system32

copy userinit.exe wsaupdater.exe

exit

3) Redémarrez normalement...

4) Cliquez sur Démarrer/Exécuter puis saisissez : regedit.

5) Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

6) Éditez une valeur chaîne nommée Userinit.

7) Saisissez comme données de la valeur ceci : C:\WINDOWS\system32\userinit.exe,

Note : La virgule est indispensable !

Un logiciel parasite nommé BlazeFind change les données de cette valeur (en remplaçant userinit.exe par wsaupdater.exe) tandis que certains logiciels suppriment ce fichier s'il est détecté. De ce fait, il ne vous est plus possible d'ouvrir une session dans Windows XP.

Si vous n'avez plus accès au système quelque soit le compte d'utilisateur sur lequel vous vous connecté suivez cette astuce vous permettant d'accéder au Bureau Windows en utilisant le compte SYSTEM.

 

- Méthode n°2, nécessite un cd Xp et un cd Bootable :

http://severinterrier.free.fr/Boot/CD-Bootable.htm

http://www.clubic.com/telecharger-fiche119...te-boot-cd.html

 

1) Insérez le Cd-Rom de Windows, puis redémarrez votre ordinateur.

2) Appuyez sur n'importe quelle touche afin de démarrer à partir du Cd-Rom.

3) Appuyez sur la touche R ou F10 dés l'affichage de l'écran bleu afin d'accéder à la Console de récupération.

4) À la question : "Sur quelle installation de Windows XP voulez-vous ouvrir une session ?",

activez le pavé numérique du clavier en appuyant sur la touche Verr Num, puis saisissez le numéro de votre partition et validez par Entrée.

Par exemple: 1 pour [1] C:\WINDOWS\

5) Saisissez le mot de passe Administrateur s'il existe puis appuyez sur Entrée.

Vous vous retrouvez alors à l'écran avec le prompt : Lettre du lecteur:\WINDOWS\

Par exemple: C:\WINDOWS.

6) Saisissez ces commandes en validant chaque fois par la touche Entrée.

md tmp (afin de créer un dossier nommé tmp)

cd tmp

On effectue une copie de sauvegarde des fichiers que l'on va réparer :

copy c:\windows\system32\config\system

copy c:\windows\system32\config\software

copy c:\windows\system32\config\sam

copy c:\windows\system32\config\security

copy c:\windows\system32\config\default

copy c:\windows\system32\userinit.exe

cd ..

On supprime les fichiers system, software, sam, security et default :

cd system32

cd config

del system

del software

del sam

del security

del default

cd ..

cd system32

cd config

On copie les fichiers de sauvegardes prévus par le système d'exploitation :

copy c:\windows\repair\system

copy c:\windows\repair\software

copy c:\windows\repair\sam

copy c:\windows\repair\security

copy c:\windows\repair\default

cd ..

On supprime le fichier de gestion des utilisateurs :

del userinit.exe

expand Lettre du lecteur de Cd-Rom contenant le disque\windows:\i386\userinit.ex_ c:\windows\system32

Par exemple: expand d:\i386\userinit.ex_ c:\windows\system32

Cette commande permet de décompresser le fichier userinit.ex_ en Userinit.exe dans C:\WINDOWS\system32.

7) Sortez votre disque de Windows XP de votre lecteur et insérez le disque ou la disquette bootable vous permettant d'éditer le Registre Windows.

Une fois le CD ou la disquette dans votre lecteur tapez EXIT puis appuyez sur la touche Entrée.

9) Redémarrez l'ordinateur.

Nous allons maintenant éditer le Registre Windows :

10) Saisissez le numéro de la partition visée puis appuyez sur la touche Entrée.

Par exemple : 1

11) Appuyez sur la touche Entrée afin de confirmer l'emplacement des fichiers de ruche [WINDOWS/system32/config].

Votre clavier est en QWERTY…

12) Saisissez : software

Sur le clavier français appuyez sur les touches: softzqre

Attention : le respect de la casse est obligatoire.

13) Saisissez le chiffre 9 (Registry editor, now with full write support!).

Vous serez alors sur ce prompt : [1020] >.

14) Saisissez en appuyant chaque fois sur la touche Entrée en respectant bien les majuscules et minuscules ainsi que les espaces.

cd Mi

(en clavier français : cd ,i)

Vous devriez voir à l'écran HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

À ce moment, vous pouvez taper directement : cd Windows Nt\CurrentVersion\Winlogon puis ed Userinit

Sinon continuez :

cd Windows NT (cd Zindozs NT)

cd CurrentVersion (cd CurrentVersion)

cd Winlogon (cd Zinlogon)

ed Userinit (ed Userinit)

À ce moment vérifiez qu'il y a bien indiqué ceci : C:\WINDOWS\system32\userinit.exe,

Attention : il doit y avoir une virgule !

Si c'est le cas allez directement au point n°15.

14) Saisissez sans oublier que vous êtes toujours en QWERTY et que le \ se fait avec Alt Gr et ) et que le : avec M et le , avec ;

C:\WINDOWS\system32\userinit.exe,

En appuyant sur les touches du clavier français ça donne donc : (CM AltGr ) ZINDOZS AltGr ) syste,32 AltGr ) userinit.exe;)

15) Appuyez sur la touche Entrée.

16) Appuyez sur q puis sur la touche Entrée.

17) Appuyez sur q.

18) Si vous avez fait le point n°14 appuyez sur Y sinon appuyez sur N.

About to write file(s) back! Do it? [N]:

19) Appuyez sur la touche Entrée.

20) Appuyez sur la touche Entrée.

21) Sortez le disque.

22) Appuyez sur les touches Ctrl + Alt + Suppr.

23) Appuyez sur F8 dés le démarrage du PC.

Si un message s'affiche (CD-ROM HDD...) appuyez sur Echap puis de nouveau sur F8.

24) Démarrez en mode sans échec.

Attention : un petit trait blanc va clignoter durant 1 à 2 minutes en haut de l'écran : c'est normal !

25) Les comptes Utilisateur s'affichent sur un fond noir.

26) Ouvrez le compte Administrateur.

27) Si la session s'ouvre sans faire d'histoire, vous pouvez maintenant redémarrer normalement votre ordinateur.

 

Troisième Méthode:avec UBCD4Win ou en esclave.

 

La finalité est d'accéder à la base de registre pour redéfinir la clé Winlogon modifiée par le virus .

 

Démarrer à partir du CD UBCD4Win (http://www.malekal.com//Scanner_CDLive_Ubcd4Win.php) ou brancher votre disque dur en esclave sur un ordinateur sain.

 

Méthode par UBCD4Win :

1. Une fois démarré cliquer sur le bouton START puis choisir la commande RUN…

2. Taper regedit puis valider

3. Dans la base de registre, faire un clic gauche sur la branche Hkey_Local_Machine (HKLM)

4. Cliquer sur Fichier puis Charger la ruche…

5. Dans la liste déroulante de l'emplacement en haut de la fenêtre choisir le disque local C

6. Puis aller dans le répertoire c:\windows\system32\config\

7. Choisir le fichier software

8. Donner un nom arbitraire à la clé (« monprenom » ou ce que vous voulez !)

9. Celle-ci apparait dans la base de registre sous la branche HKLM

10. Aller dans HKLM\ « monprenom »\Microsoft\WindowsNT\CurrentVersion\Winlogon

11. Faire un double-clic sur la clé Userinit (le virus laisse vide cette valeur) et entrer la valeur suivante : c:\windows\system32\userinit.exe,

12. (attention la virgule qui suit le fichier userinit.exe est très importante)

13. Valider et aller dans le menu Fichier --> Décharger la ruche…

14. Choisir Oui pour enregistrer les modifications.

15. Fermer la base de registre

16. Cliquer sur START puis « Turn off Computer »

17. Au redémarrage enlever le CD car le Pc va rebooter dessus et entrez dans votre session.

[Manduline]

Bonjour et merci de ton aide Desch

 

Alors pour résumer – pour le suivi du problème par tout le monde – j’ai tenté la réparation.

J’ai pu la lancée sans souci apparent. Par contre, lors de son déroulement, de nombreux messages d’erreurs sont apparus m’indiquant que des dll étaient manquantes/endommagées/non signées.

 

Je suis malgré tout aller au bout et mon pc a redémarré. Lors de ma tentative de lancer une session, il a rebooté comme toutes les fois précédentes.

J’ai constaté en bootant en mode sans échec que la version indiquée en haut de l’écran avait changé et que j’étais passé de Win XP Service Pack 2 à Win XP tout court …

Certaines des dll indiquées comme manquantes ou endommagées lors de la réparation étaient clairement reliées dans les messages d’erreurs au pack SP1.

 

J’ai donc essayé la dernière idée qui me restait : me loguer avec le second compte utilisateur « Y ».

Depuis l’apparition des problèmes, je me loguais soit avec le compte « X » soit avec le compte « Admin » pour un résultat identique à chaque fois.

 

J’ai pu accéder au bureau du compte « Y ». J’ai alors entrepris, déconnecté du réseau, de désinstaller Kaspersky (pas à jour pour cause de fin de licence il y a deux semaines) et d’installer Antivir en vue d’éradiquer cette saleté

 

J’ai quasiment pu mener à son terme toutes ces opérations. J’ai bien sur été constamment interrompu par des messages d’erreurs critiques de Windows et « d’alertes Windows » disant que j’étais attaqué par Internet et que je devais acheter des protections en cliquant sur le lien (sans connexion réseau, je vois pas comment je pourrais être attaqué ). Je n’ai fermé aucune fenêtre afin de pouvoir opérer tranquillement.

 

C’était peine perdue malheureusement. A la fin de l’install d’Antivir, mon pc a « gelé » et au bout de 10 minutes sans aucun contrôle ni signe d’activité du pc, j’ai rebooté. Pour me retrouver face aux mêmes soucis qu’avant, avec les autres comptes, càd un reboot automatique à la page de choix d’une session au bout de 1 à 2 minutes.

 

J’ai la possibilité de brancher mon DD en externe via un boitier USB sur mon autre pc. J’envisage de faire comme suit.

1. je scanne le DD externe avec l’antivirus du pc pour supprimer ce/ces virus.

2. je récupère les fichiers contenus dans C: que je ne veux surtout pas perdre (quelle idée de stocker des fichiers sur le bureau )

3. je tente un démarrage en remontant mon DD sur ma machine

4. euh là … c’est quoi le mieux ? Réparation de nouveau ? Réinstallation de Windows ?

 

Mais cela m’amène plusieurs questions :

- Un scan antivirus sera-t-il efficace pour tout supprimer ?

- Si je me balade dans les dossiers du DD externe à la recherche de fichiers à récupérer, existe-t-il un risque de contamination de mon second pc (partant du principe que je ne lance aucun programme de ce disque)?

 

Merci d’avance de votre aide !

Modifié le 3 juin 2008 par Manduline