Gros problèmes, Virus?

[Toum_]

Oh fait je ne sais pas ce qu'est la partition de recouvrement acer, elle est dans les outils systèmes?

 

 

A+ merci

[Toum_]

J'ai trouvé comment restaurer l'ordi mais aux parametres usines.

[Mark]

Bon Dimanche

 

Attends pour la restauration : on regardera ça seulement si nécessaire. Oui, la partition de recouvrement devrait être présente par défaut sur le Acer, mais elle est assez bien cachée (normal).

 

Alors je vais poursuivre avec quelques questions, si tu me permets :

 

1) Quels sont ces "Services" qui ne démarrent pas ? As-tu des messages d'erreurs ?

 

2) As-tu tenté de désintaller Avast! ? Sinon, je te conseille vivement de le désinstaller maintenant car il pourrait gêner les outils. On te mettra un autre antivirus dès que tu retrouveras la connexion.

 

3) En tentant de lancer ComboFix, aurais-tu double-cliqué plus d'une fois sur l'outil ? Si oui, cela peut causer le message d'erreur que tu obtiens.

 

4) As-tu accès à une clé USB "propre", qui n'a pas été en contact avec le portable infecté ? Si je demande, c'est simplement parce que tu avais des supports amovibles infectés au départ. Même si USBFix semble avoir fait le travail, on ne sait jamais... et si tu transfères ComboFix via une clé infectée, ça pourrait expliquer aussi.

 

=============================

 

En plus des questions (lol), voici ce que je te suggère :

 

- Désinstalle Avast! sur le portable.

- Télécharge une copie fraîche de ComboFix et transporte-la sur le portable sur une clé propre (ou autre support amovible), si possible, et mets l'outil sur le Bureau du portable (ne le lance pas à partir d'une clé USB).

- Redémarre le portable en mode Sans Échec (tapote F8 au démarrage, tout de suite après le Bip, et choisis ensuite le mode Sans Échec).

- Lance ComboFix depuis le mode Sans Échec et on se croise les doigts. Il ne faut surtout pas double-cliquer plus d'une fois sur ComboFix : s'il ne se lance pas au bout d'une minute, il y a un problème et mentionne-le dans ton prochain post.

 

@bientôt,

[Toum_]

J'ai désinstaller Avast et suivi tes instruction toujours le même message d'erreur pour combofix.

 

Je n'ai que ce disque externe pour les transferts.

 

Les services qui ne démarre pas sont par exemple celui qui gère internet ou celui qui gère le centre de sécurité il n'y à pas de messages d'erreur car le services qui gère ces messages ne démarre pas non plus.

 

Merci à plus tard

[Mark]

D'accord, et merci pour les détails. Un collègue vient tout juste de me mettre sur une piste, que je devrai étudier en profondeur car ce n'est pas simple. Ça expliquerait pour les Services et tout le reste.

 

Je te reviens dès que possible (cette nuit ou demain).

 

@+

[Toum_]

Ça marche.

 

 

Merci beaucoup pour ton aide.

[Mark]

Bonjour Toum_

 

La petite enquête se poursuit. Je te propose une manipulation toute simple :

 

- Télécharge les deux fichiers suivants :

 

http://www.xs4all.nl/~fstaal01/downloads/swxcacls.exe

http://senduit.com/7acb62

 

- Transporte-les sur la machine et sauvegarde-les sur son Bureau.

 

- Lance le fichier Look.bat par double-clic (ne lance pas l'autre). Un fichier texte sera créé rapidement, du nom de Log.txt qui sera également sauvegardé sur le Bureau. Copie/colle le contenu de ce fichier dans ta prochaine réponse.

 

À partir du résultat, nous pourrons (je l'espère) cerner le problème et le corriger.

 

@+

 

Mark

[Toum_]

Bonjour Mark,

 

Voici le rapport générer:

 

 

SteelWerX Extended Configuration Access Control Lists

Written by Bobbi Flekman 2006 ©

*******************************************************************************

File: C:\Windows\System32\svchost.exe

 

Permissions:

*******************************************************************************

Username

Type Permissions Inheritance

*******************************************************************************

NT SERVICE\TrustedInstaller

Allowed Full Control This Folder/File Only

PC-DE-TOUM\Administrateurs

Allowed Read and Execute This Folder/File Only

AUTORITE NT\SYSTEM

Allowed Read and Execute This Folder/File Only

PC-DE-TOUM\Utilisateurs

Allowed Read and Execute This Folder/File Only

 

Auditing:

*******************************************************************************

Username

Type Access Inheritance

*******************************************************************************

\Tout le monde

All Special (DCA9532) This Folder/File Only

 

Owner: TrustedInstaller (NT SERVICE\TrustedInstaller)

 

 

 

Merci A+

 

 

Toum

[Mark]

Bonjour Toum_

 

Merci pour ce rapport. Le problème qui semble se présenter est tout récent, et doublement complexe sous Vista (par rapport à XP). Une infection semble avoir retiré des permissions sur des fichiers et des Services, ce qui bloque beaucoup d'applications. C'est tellement nouveau que nous en sommes à étudier les possibilités et à faire des essais actuellement. Possible qu'on puisse faire quelque chose, mais je dois attendre quelques retours avant de poursuivre.

 

Je pourrais avoir quelque chose demain ou peut-être avant ; on verra.

 

À bientôt donc,

 

Mark

[Toum_]

Salut Mark,

 

ravi de faire parti des premiers privilégiés infectés, lol...

 

Non sans blague merci pour ton aide, bon courage et à bientôt.

 

Toum