PC lent !!! Virus ?

[Mark]

Bonjour à vous deux

 

K38 : pear a tout à fait raison. Virut nécessite un formatage complet car il est pratiquement impossible de tout réparer, même si on arrive à stopper l'infection. Une simple réparation de Win2000 n'est pas envisageable car il faut rayer tous les exécutables.

 

Pour ce qui est du CD de Win2000 : cela dépend de ton entourage, de tes connaissances aussi, mais tu pourrais emprunter un CD, si disponible (avec le SP4). Tu récupères ta clé de produit avec un logiciel tel Belarc Advisor (tout de suite) et ensuite tu peux formater/réinstaller avec le CD emprunté et tu mets ta clé de produit (licence) lorsque demandée.

 

Mais je te suggère vivement de passer à un autre système d'exploitation. Windows 2000 n'est plus supporté par Microsoft depuis quelques années déjà, alors il devient de plus en plus vulnérable aux infections. Nos développeurs d'outils de désinfection retirent, peu à peu, la compatibilité pour Win2000 car nous n'en voyons pratiquement plus sur les forums.

 

=====

 

Pour tes icônes et barre des tâches manquantes : on dirait que c'est Explorer.exe qui ne se lance pas. Je ne me souviens pas si Win2000 fonctionne comme XP, mais tu pourrais tenter de lancer explorer via le Gestionaire des tâches (CTRL+ALT+SUPP). Tu vas dans l'onglet "Applications", clique sur "Nouvelle tâche" et tu tapes "explorer.exe" puis clique "OK".

 

@+

 

Mark

[K38]

Bonjour,

 

Voici enfin le rapport...

 

 

svchost.exe;c:\winnt\inf;Program.CCProxy;Irréparable.Quarantaine.;

firedaemon.exe;c:\winnt\system32\microsoft\user;Tool.FireDaemon;Irréparable.Quarantaine.;

radmin.exe;C:\Program Files\Radmin Viewer 3.0;Program.RemoteAdmin.205;Irréparable.Quarantaine.;

svchost.exe;C:\WINNT\ime;Program.CCProxy;Irréparable.Quarantaine.;

svchost.exe;C:\WINNT\inf;Program.CCProxy;Chemin invalide pour le fichier ;

Libparse.exe;C:\WINNT\system32;Program.PrcView.3621;Irréparable.Quarantaine.;

xsys.dll;C:\WINNT\system32;Tool.Moo;Irréparable.Quarantaine.;

Libparse.exe;C:\WINNT\system32\Lavan;Program.PrcView.3621;Irréparable.Quarantaine.;

xsys.dll;C:\WINNT\system32\Lavan;Tool.Moo;Irréparable.Quarantaine.;

firedaemon.exe;C:\WINNT\system32\Microsoft\user;Tool.FireDaemon;Chemin invalide pour le fichier ;

[pear]

Bonjour,

 

Il me semble que vous n'avez pas encore perdu tout espoir

Comme on vous l'a dit ,il n'en reste plus guère

 

Allons cependant jusqu'au bout, puisque vous paraissez y tenir:

Désinstallez Combofix et lancez en une nouvelle instance.(les chiffres, c'est voulu)

Si cela ne marchait pas, il n'y aura plus rien à faire que le formatage.

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,vous pourriez utilement lire ce

,Mode opératoire:

 

Télécharger combofix.exe de sUBs

 

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

 

Lancez Combofix en double cliquant

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

 

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 8 octobre 2009 par pear

[K38]

Bonsoir,

 

Combofix n'a pas procédé à l'installation de la console de récupération. Du coup, il a directement lancé le scan.

 

 

Voici le rapport Combofix...

 

ComboFix 09-10-07.05 - Karim 09/10/2009 0:05.7.1 - NTFSx86

Lancé depuis: d:\documents and settings\Karim\Bureau\500-CF.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\winnt\cmd.exe

c:\winnt\system32\instsrv.exe

c:\winnt\system32\logs

c:\winnt\system32\sounds

c:\winnt\vinmgmt.exe

d:\documents and settings\Administrateur\Mes documents\tout.reg

d:\documents and settings\Alain\Application Data\Dossier de téléchargement Share-to-Web

d:\documents and settings\Karim\Application Data\Dossier de téléchargement Share-to-Web

 

c:\winnt\system32\comres.dll . . . est infecté!!

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NWCWORKSTATION

-------\Legacy_SYSTEM_SERVER

-------\Service_NWCWorkstation

-------\Service_System Server

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-08 au 2009-10-08 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-08 22:28 . 2009-10-08 22:28 -------- d-----w- d:\documents and settings\Karim\Application Data\Dossier de téléchargement Share-to-Web

2009-10-08 22:24 . 2009-10-08 22:24 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_23c.dat

2009-09-29 21:18 . 2009-09-29 21:18 -------- d-----w- c:\winnt\winsxs

2009-09-28 20:27 . 2009-09-29 05:42 -------- d-----w- d:\documents and settings\Karim\DoctorWeb

2009-09-21 19:20 . 2009-09-21 19:20 -------- d-----w- c:\program files\CCleaner

2009-09-11 18:52 . 2009-09-11 19:10 -------- d-----w- d:\documents and settings\All Users\Application Data\NOS

2009-09-11 18:52 . 2009-09-11 18:52 -------- d-----w- c:\program files\NOS

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-07 22:56 . 2006-06-03 13:00 -------- d---a-w- d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-09-26 14:19 . 2005-11-20 15:36 -------- d-----w- c:\program files\PowerArchiver

2009-09-19 08:40 . 2008-07-25 22:49 -------- d-----w- d:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2009-09-16 21:06 . 2008-07-30 22:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-10 12:54 . 2009-02-16 22:24 38224 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-02-16 22:24 18520 ----a-w- c:\winnt\system32\drivers\mbam.sys

2009-08-29 11:30 . 2005-12-10 15:22 -------- d-----w- c:\program files\Java

2009-08-05 05:04 . 2009-08-05 05:04 90164 ----a-w- c:\winnt\system32\atl.dll

2009-07-27 11:27 . 2001-05-08 00:00 81168 ----a-w- c:\winnt\system32\fontsub.dll

2009-07-27 11:27 . 2001-05-08 00:00 165136 ----a-w- c:\winnt\system32\t2embed.dll

2009-07-25 03:23 . 2009-01-24 09:07 411368 ----a-w- c:\winnt\system32\deploytk.dll

2009-07-22 10:30 . 2009-07-22 10:30 582144 ----a-w- c:\winnt\system32\WININET.DLL

2009-07-13 13:13 . 2003-06-19 10:05 79120 ----a-w- c:\winnt\system32\avifil32.dll

2009-07-13 00:18 . 2006-01-01 21:47 233472 ----a-w- c:\winnt\system32\wmpdxm.dll

2006-08-18 16:22 . 2006-08-18 16:20 302 ---ha-w- c:\program files\hpothb07.dat

2006-08-18 16:20 . 2006-08-18 16:20 513 ---ha-w- c:\program files\hpothb07.tif

2005-11-16 21:50 . 2005-11-16 21:50 22115 ---h--w- c:\program files\folder.htt

2009-06-17 16:11 . 2009-07-03 14:51 817 --sha-w- c:\winnt\system\server.bat

2005-07-23 02:25 . 2008-09-17 20:50 230 --sha-w- c:\winnt\system32\drivers\etc\config\addme.reg

2006-03-21 22:31 . 2008-09-17 20:49 34 --sha-w- c:\winnt\system32\drivers\etc\config\store.dll

.

 

------- Sigcheck -------

 

[-] 2009-01-21 19:36 . 5FF3B9A076CAA99A2BA429D337597276 . 97072 . . [5.00.2195.6673] . . c:\winnt\system32\sfc.dll

[7] 2003-06-19 10:05 . C613005AD235A7E67F82B8444662587F . 97072 . . [5.00.2195.6673] . . c:\winnt\system32\dllcache\sfc.dll

 

[-] 2003-06-19 10:05 . CB769C25F304618634791CDB78279321 . 18432 . . [5.00.2195.6612] . . c:\winnt\system32\userinit.exe

[-] 2003-06-19 10:05 . CB769C25F304618634791CDB78279321 . 18432 . . [5.00.2195.6612] . . c:\winnt\system32\dllcache\userinit.exe

 

[-] 2003-06-19 10:05 . !HASH: COULD NOT OPEN FILE !!!!! . 251664 . . [------] . . c:\winnt\explorer.exe

[-] 2003-06-19 10:05 . 23493275AB46CD6E24B4A1480964E1EE . 244224 . . [5.00.3700.6690] . . c:\winnt\system32\dllcache\explorer.exe

 

[-] 2002-12-17 17:45 . 4A38A7A585EED0EBA03EA025A82DAC04 . 52736 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-14 282624]

"CamMonitor"="c:\program files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe" [2002-10-06 90112]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266240]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-21 180224]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 113152]

 

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]

hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

2006-09-01 05:49 143632 ----a-w- c:\winnt\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"antivirusoverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

R3 fbxusb;Carte réseau virtuelle FreeBox USB (32 bits);c:\winnt\system32\drivers\fbxusb32.sys [27/08/2007 15:12 31128]

S3 EL3C574;Pilote pour périphérique FE574B-3Com 10/100 LAN PCCard;c:\winnt\system32\drivers\el574nd4.sys [18/11/2005 13:56 24848]

S3 getPlusHelper;getPlus® Helper;c:\winnt\System32\svchost.exe -k getPlusHelper [08/05/2001 02:00 7952]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Contenu du dossier 'Tâches planifiées'

 

2006-03-19 c:\winnt\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1100 seriesFFFC65AA55102C81B07D9219AEE13DF488B0EFDD132827445.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://fr.yahoo.com/

IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

IE: Pages liées - c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

IE: Pages similaires - c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

IE: Recherche &Google - c:\program files\google\GoogleToolbar1.dll/cmsearch.html

IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar1.dll/cmcache.html

LSP: %SystemRoot%\system32\msafd.dll

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} - hxxp://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab

FF - ProfilePath - d:\documents and settings\Karim\Application Data\Mozilla\Firefox\Profiles\xt0ii9fn.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll

FF - plugin: d:\documents and settings\Karim\Application Data\Mozilla\Firefox\Profiles\xt0ii9fn.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-WINSYSMON

AddRemove-mIRC - c:\winnt\system32\Lavan\system32.exe

AddRemove-ShockwaveFlash - c:\winnt\system32\Macromed\Flash\FlashUtil9b.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-09 00:28

Windows 5.0.2195 Service Pack 4 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(200)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

 

- - - - - - - > 'explorer.exe'(1184)

c:\winnt\AppPatch\AcLayers.DLL

c:\winnt\system32\SHDOCVW.DLL

.

Heure de fin: 2009-10-08 0:37 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-10-08 22:37

 

Avant-CF: 1 419 386 880 octets libres

Après-CF: 1 444 728 832 octets libres

 

139 --- E O F --- 2009-09-09 00:17

[pear]

Bonjour,

 

c:\winnt\system32\comres.dll . . . est infecté!!

Faites une réparation sans pertes

 

http://jc.bellamy.free.fr/fr/windows2000.html#repair

[Mark]

Bonjour à vous deux

 

Pour réparer Win2000, il lui faudrait le CD d'installation et je pense qu'il ne l'a pas...

 

K38 : connais-tu quelqu'un qui a un Win2000 toujours en service ? Si oui, avec le SP4 ?

 

ComboFix ne peut pas installer la Console de Récupération sur un Win2000, malheureusement, donc on ne peut lui demander de remplacer le fichier manquant, ni ceux qui ont échoué au sigcheck... Un sfc /scannow ferait peut-être l'affaire aussi, mais il faut un CD de Windows (2000).

 

On pourrait contourner, peut-être, mais juste si le répertoire C:\i386 est présent sur la machine ; tu pourrais vérifier s'il te plaît ? Si oui, on pourra tenter quelque chose...

 

@+

[K38]

Bonjour à vous 2,

 

Je n'ai pas encore pu récupérer le CD d'installation de Windows2000 (je cherche toujours) par contre j'ai pu avoir celui de Windows XP. Est-ce que ça peut faire l'affaire pour réparer mon PC ?

 

Pour Mark : n'étant pas chez moi pour l'instant, je vérifirais ce soir si C:\i386 est sur mon PC.

 

Encore merci à vous 2.

[K38]

Bonsoir,

 

Mark, effectivement le répertoire i386 se trouve à 2 endroits différents : dans Program files et dans Winnt...

 

A+

[Mark]

Bonjour K38

 

Non, malheureusement, si tu veux utiliser un CD, il faut celui de 2000.

 

Oké, on peut essayer une vérification des fichiers via le i386 ; il faut modifier une petite valeur dans le registre :

 

- Clique sur le bouton "Démarrer" >> "Exécuter..." puis tape regedit et clique "OK" ;

 

- Via l'arborescence, recherche la clé suivante (dans le volet de gauche) :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

 

> Clique une seule fois sur "Setup" pour la sélectionner ;

> Dans le volet de droite, double-clique sur la valeur "SourcePath" ;

>> Dans la nouvelle fenêtre (Modification), remplace la "Donnée de la valeur:" en tapant : C:\Winnt

>>> Clique "OK"

 

- Redémarre la machine. Après redémarrage, fais ceci :

 

> Bouton "Démarrer" > "Exécuter..." puis tape (ou copie/colle) la commande suivante dans la boîte :

sfc /scannow

(note : il y a bien un espace après sfc)

 

> Clique "OK"

 

Si tout va bien, le vérificateur de fichiers système va se lancer sans te demander le CD de Windows. Si des fichiers corrompus ou manquants sont détectés, ils seront remplacés. Il n'y aura pas de rapport généré suite à cette opération (dommage, je sais..). Reviens nous dire si ça a marché et si des fichiers ont été remplacés.

 

@toute

 

Mark

[K38]

Bonsoir Mark,

 

Bon, ben ça n'a malheureusement pas marché !!! sfc /scannow n'a pas pu s'exécuter car il me demande le CD d'installation.

 

 

A+