[ RESOLU ] ordinateur portable coincé suite aux virus

temacine · le 31 décembre 2008

Bonour à tous,

Bonjour Pear,

de passage en coup de vent sur le site je viens prendre connaissance de votre demande.

Pas de probème, message reçu, je vais envoyer le rapport.

S'il vous plaît un peu d'indulgence, je ne vais pas le faire immédiatement,

vous comprendrez pourquoi en ce 31.

Mais promis dès que j'ai quelques minutes je vais le faire.

En attendant je vous souhaite ainsi qu' à toute la communauté une très bonne fin d'année.

Encore merci.

temacine · le 1 janvier 2009

Bonjour,

à toute la communauté,

une bonne et heureuse année 2009,

que vos espérances se réalisent tout au long de cette année.

Après encore des galères, j'ai réussi à relancer,

- à réinstaller XP par miracle mais dans un nouveau répertoire c: WIN que j'ai crée suite à une invite car impossible de faire quoique ce soit, le XP du répertoire classique c : WINDOWS ne voulant rien savoir

- à faire combofix dont le rapport suit :

ComboFix 08-12-30.02 - moi 2009-01-01 13:47:20.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.503.366 [GMT 1:00]

Lancé depuis: E:\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

E:\AUTORUN.INF

c:\win\explorer.exe . . . est infecté!!

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-01 au 2009-01-01 ))))))))))))))))))))))))))))))))))))

.

2009-01-01 13:50 . 2001-08-28 13:00 90,624 ---h----- C:\dyugdizxm.exe

2009-01-01 13:50 . 2009-01-01 13:50 135 --ah----- C:\AUTORUN.INF

2008-12-31 11:23 . 2000-06-26 11:45 106,496 -ra------ c:\win\system32\TwnLib20.dll

2008-12-31 11:22 . 2008-12-31 11:22 <REP> d-------- c:\program files\Fichiers communs\Ahead

2008-12-31 11:22 . 2008-12-31 11:23 <REP> d-------- c:\program files\Ahead

2008-12-31 11:22 . 2001-07-06 14:41 569,344 -ra------ c:\win\system32\imagr5.dll

2008-12-31 11:22 . 2001-07-06 12:44 544,768 -ra------ c:\win\system32\imagx5.dll

2008-12-31 11:22 . 2001-07-06 18:24 283,920 -ra------ c:\win\system32\ImagXpr5.dll

2008-12-31 11:22 . 2001-07-09 11:50 167,936 -ra------ c:\win\system32\NeroCheck.exe

2008-12-31 11:22 . 2001-06-26 08:15 38,912 -ra------ c:\win\system32\picn20.dll

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier (3)

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier (2)

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier

2008-12-23 18:18 . 2008-12-23 18:18 36,864 --a------ c:\documents and settings\marcelius\reader_s.exe

2008-12-23 18:13 . 2008-12-23 18:15 <REP> d-------- c:\program files\antivir

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-01 12:48 1,014,784 ----a-w c:\win\explorer.exe

2008-12-30 14:37 --------- d-----w c:\program files\Services en ligne

2008-12-23 17:18 --------- d-----w c:\documents and settings\marcelius\Application Data\Skype

2008-11-30 16:00 --------- d-----w c:\program files\VISUAL PETANQUE 3.0.4

2008-11-02 14:55 --------- d-----w c:\documents and settings\marcelius\Application Data\Uniblue

2001-08-28 12:00 90,624 --sh--r c:\win\system32\qahprwnuk.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\win\System32\ctfmon.exe" [2001-08-28 23040]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1089565]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MDM Rock 4"="c:\win\System32\qahprwnuk.exe" [2001-08-28 90624]

"NeroFilterCheck"="c:\win\system32\NeroCheck.exe" [2001-07-09 167936]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\win\System32\CTFMON.EXE" [2001-08-28 23040]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WIN\\System32\\qahprwnuk.exe"=

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

------- Examen supplémentaire -------

.

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-01 13:50:25

Windows 5.1.2600 NTFS

detected NTDLL code modification:

ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(500)

c:\win\system32\ODBC32.dll

c:\win\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(556)

c:\win\system32\MSVCIRT.dll

c:\win\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

c:\win\System32\dssenh.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\win\system32\wpabaln.exe

.

**************************************************************************

.

Heure de fin: 2009-01-01 13:52:16 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-01 12:52:14

Avant-CF: 41 613 983 744 octets libres

Après-CF: 41,605,943,296 octets libres

92

Merci Pear pour les commentaires et observations à venir.

J'ai oublié de préciser, c'est en lisant d'autres posts que je pense que ça a de l'importance, que je ne pouvais absolument pas lancer quelques programmes que ce soit,

j'ai donc téléchargé Combo-fix sur une clé et à partir de la clé j'ai lancé la procédure.

J'ai tellement fait de manips pour lancer un programme que je me rapelle pas de tout, y compris il faut tout arrêter car logon.scr fait un probléme.

Par contre sur la clé après le passage sur le portable il y avait le virus : orbdycswg.exe

Désolé encore une question :

après avoir lu attentivement le rapport je vois c: WIN infecté, qui est le répertoire que j'ai du crée pour XP,

cela veut-il dire que c: WINDOWS répertoire d'origine n'est pas infecté ?

Merci

Modifié le 1 janvier 2009 par temacine

pear · le 1 janvier 2009

Bonjour,

J'avoue avoir quelque peine à vous suivre.

J'avais cru comprendre que votre machine fonctionnait, sous réserve de désinfection:

Ouf !!!
Quel plaisir de revoir son compagnon en forme.

Merci, mille fois merci Pear.

Tout refonctionne, effectivement un virus est la cause de ce dysfonctionnement, il a même corrompu le fichier avgscan.exe.

Alors pourquoi cette réinsatallation dans C:\Win?

après avoir lu attentivement le rapport je vois c: WIN infecté,

De quel rapport parlez vous ?

Vous vous feriez désinfecter sur un autre forum?

Quoi qu'il en soit, je désinfecte:

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

C:\dyugdizxm.exe

c:\documents and settings\marcelius\reader_s.exe

c:\win\system32\qahprwnuk.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MDM Rock 4"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WIN\\System32\\qahprwnuk.exe"=-

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 1 janvier 2009 par pear

temacine · le 1 janvier 2009

Bonsoir,

avant de suivre la procédure que vous proposez pour désinfecter quelques précisions afin de répondre à vos interrogations :

- j'avoue également avoir du mal à suivre,

dans un précédent message j'ai indiqué que j'avais réussi à faire démarré l'ordinateur alors que toutes mes tentatives avaient échoué, en mode sans échec, avec ou sans CD, avec le CD d'origine XP bootable, peu importe le mode choisi^pour démarrer, rien. Je ne sais par quel mirâcle à force de recommencer l'installation de XP s'est lancée jusqu'à l'invite : dans quel répertoire voulez-vous installer avec le choix de c: windows, je fais ok 2 mn environ après arrêt. Je relance retour sur le choix énoncé ci-dessus et là je décide de créer un repertoire c: win; l'installation va à son terme sauf que je ne peux rien ouvrir, chaque fois, erreur par-ci, erreur par-là.J'arrête tout pour reprendre aujourd'hui afin de faire combo-fix et de vous le poster, tout content d'avoir pu le faire, ne faisant plus rien d'autre conformément aux recommandations et attendant vos consignes.

- ma machine fonctionne mais en apparence, par exemple je ne peux pas excel ou word ou nero, pour ce dernier ça me dit nero.exe ne peut être effectuer,

- je parle du rapport que je vous ai posté, une fois fait je me suis empressé de le poster sans le lire, une fois posté je l'ai lu et j'ai vu c; win infecté d'où ma question que j'ai édité après coup,

- quand ,je parle d'autres messages je fais référence à Hykio et son sujet : pc portable infecté

- quand j'entame une collaboration je mets un point d'honneur, à répondre, à dire où j'en suis, à remercier, à donner des nouvelles, en aucun cas je vais butiner à droite à gauche déjà que je n'y comprends pas grand chose, le nomadisme informatique trèe peu pour moi.

Ceci précisé je vais entamer le processus de désinfection, je vais essayer, c'est pas gagné car pour le moment je n'ai pas accès à Antivir, chaque fois il est marqué accès refusé, de plus je ne sais pas comment le neutraliser.

Encore merci pour votre patience.

temacine · le 1 janvier 2009

Bonsoir,

voici le rapport :

ComboFix 08-12-30.02 - moi 2009-01-01 18:13:18.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.503.352 [GMT 1:00]

Lancé depuis: E:\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\moi\Mes documents\CFScript.txt

FILE ::

c:\documents and settings\marcelius\reader_s.exe

C:\dyugdizxm.exe

c:\win\system32\qahprwnuk.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

c:\documents and settings\marcelius\reader_s.exe

C:\dyugdizxm.exe

c:\win\system32\qahprwnuk.exe

E:\AUTORUN.INF

c:\win\system32\spoolsv.exe . . . est infecté!!

c:\win\explorer.exe . . . est infecté!!

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-01 au 2009-01-01 ))))))))))))))))))))))))))))))))))))

.

2009-01-01 18:02 . 2009-01-01 18:02 38,400 --a------ c:\win\system32\reader_s.exe

2009-01-01 18:02 . 2009-01-01 18:02 28,672 --a------ c:\documents and settings\moi\reader_s.exe