[RéSOLU] Ordinateur paralysé

[fantask]

Bonjour,

 

On me confie un ordinateur sous XP SP3 car il " n'a plus internet".

J'avoue que je suis un peu coincé avec ce cas.

Plus de connexion réseau, impossible de consulter les profils, plus de copier coller, ça rame, IE ne s'ouvre pas.

 

J'ai quelques fichiers important à sauver dessus, mais je peux même pas les déplacer.

 

Impossible d'installer quoi que ce soit dessus à partir d'une clé USB.

 

Par ou dois-je commencer ?

Modifié le 1 mai 2010 par fantask

[Gof]

Bonjour fantask,

 

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Quels sont les messages d'erreur rencontrés lors de l'exécution de programmes ? Le glisser-déposer de la clé au Bureau ne fonctionne pas (à défaut du copier-coller) ? De quel moyen disposes tu pour le dépannage (as-tu par exemple un cd xp) ?

[fantask]

Salut Gof, merci de m'aider :

 

Bon depuis que j'ai posé ma question j'ai essayé de me débrouiller en lisant le forum, je pouvais pas faire de glisser déposer même depuis une clé, pas possible d'installer malwarebytes anti malware, pas de connexion réseau.

 

J'ai (dans l'ordre)

 

partitionné le disque en deux avec Gparted

lancé un live cd ubuntu pour pouvoir déplacer mes fichiers importants sur le nouveau disque (en vue de formater le premier)

puis j'ai pas voulu baisser les bras et j'ai pas formaté

j'ai désactivé mc afee

ça m'a permis de remettre svhost dans system32 et là tout à remarché

j'ai pu mettre à jour mc afee puis j'ai enfin pu le desinstaller apres cette maj

j'ai mis avira

puis installé mbam

j'en suis là avec 3 infections détectées avec une recherche complète;

 

Je peux faire quoi maintenant ?

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4057

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

01/05/2010 17:00:33

mbam-log-2010-05-01 (17-00-33).txt

 

Type d'examen: Examen complet (C:\|E:\|F:\|)

Elément(s) analysé(s): 144890

Temps écoulé: 20 minute(s), 11 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Modifié le 1 mai 2010 par fantask

[Gof]

Ok, je crois comprendre ce qui est arrivé à cette machine. Tout dernièrement, MacAfee a eu un souci sur une de ses mises à jour et des processus légitimes et systèmes se sont retrouvés en quarantaine de l'outil ; ce qui occasionnait beaucoup de disfonctionnements dans le meilleur des cas, pas de redémarrage possible dans le pire des cas.

 

Je vois que tu as remis le processus sans doute "avalé" suite à la mise à jour, que tu as bien fait la mise à jour de l'antivirus (histoire qu'il ne nous en avale pas d'autres encore).

 

Les éléments révélés par MBAM ne sont pas infectieux. Ils apparaissent dans le rapport, à la discrétion de l'utilisateur : il peut s'agir de paramètres personnalisés, comme il peut s'agir de fonctionnalités réduites par une éventuelle infection. L'absence de fichiers convexes associés me laisse penser que nous sommes dans le premier cas de figure.

 

As-tu pu par ta démarche récupérer toutes les fonctionnalités ? As-tu regardé la quarantaine de MacAfee avant de le désinstaller au cas où des processus légitimes s'y trouveraient encore ?

[fantask]

Merci pour tes infos !

 

Ben non j'ai pas regardé dans la quarantaine de mcafee, tellement j'étais heureux de m'en être débarrassé;

Par contre il me supprimait svhost à chaque fois que j'essayait de le remettre depuis une clé;

C'est pas mon PC mais j'ai préféré mettre avira à la place, je pense pas que le propriétaire s'en offusquera, peut-être même qu'il s'en rendra pas compte;

 

Tout remarche bien, je dirais pas comme avant, vu que je l'avais pas vu tourner avant ce plantage, mais je dirais qu'il tourne de facon fluide;

c'est quand même fou ce que l'absence de ce svhost peut dérouter l'ensemble du fonctionnement du pc !

 

sinon voilà le rapport avira, juste un avertissement que je comprends pas trop.

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : samedi 1 mai 2010 17:08

 

La recherche porte sur 2062283 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC11

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 01/05/2010 13:24:15

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:24:14

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:24:14

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:24:14

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:24:14

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:24:14

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:24:14

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 13:24:14

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 13:24:14

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 13:24:14

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 13:24:14

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 13:24:14

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 13:24:14

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 13:24:14

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 13:24:14

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 13:24:14

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 13:24:14

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 13:24:14

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 13:24:14

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 13:24:14

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 13:24:14

VBASE020.VDF : 7.10.7.3 2048 Bytes 30/04/2010 13:24:14

VBASE021.VDF : 7.10.7.4 2048 Bytes 30/04/2010 13:24:14

VBASE022.VDF : 7.10.7.5 2048 Bytes 30/04/2010 13:24:14

VBASE023.VDF : 7.10.7.6 2048 Bytes 30/04/2010 13:24:14

VBASE024.VDF : 7.10.7.7 2048 Bytes 30/04/2010 13:24:14

VBASE025.VDF : 7.10.7.8 2048 Bytes 30/04/2010 13:24:14

VBASE026.VDF : 7.10.7.9 2048 Bytes 30/04/2010 13:24:14

VBASE027.VDF : 7.10.7.10 2048 Bytes 30/04/2010 13:24:14

VBASE028.VDF : 7.10.7.11 2048 Bytes 30/04/2010 13:24:14

VBASE029.VDF : 7.10.7.12 2048 Bytes 30/04/2010 13:24:14

VBASE030.VDF : 7.10.7.13 2048 Bytes 30/04/2010 13:24:14

VBASE031.VDF : 7.10.7.16 43520 Bytes 30/04/2010 13:24:14

Version du moteur : 8.2.1.224

AEVDF.DLL : 8.1.2.0 106868 Bytes 01/05/2010 13:24:15

AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 01/05/2010 13:24:15

AESCN.DLL : 8.1.5.0 127347 Bytes 01/05/2010 13:24:15

AESBX.DLL : 8.1.3.1 254324 Bytes 01/05/2010 13:24:15

AERDL.DLL : 8.1.4.6 541043 Bytes 01/05/2010 13:24:15

AEPACK.DLL : 8.2.1.1 426358 Bytes 01/05/2010 13:24:15

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01/05/2010 13:24:14

AEHEUR.DLL : 8.1.1.24 2613623 Bytes 01/05/2010 13:24:14

AEHELP.DLL : 8.1.11.3 242039 Bytes 01/05/2010 13:24:14

AEGEN.DLL : 8.1.3.7 373106 Bytes 01/05/2010 13:24:14

AEEMU.DLL : 8.1.2.0 393588 Bytes 01/05/2010 13:24:14

AECORE.DLL : 8.1.13.1 188790 Bytes 01/05/2010 13:24:14

AEBB.DLL : 8.1.1.0 53618 Bytes 01/05/2010 13:24:14

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 01/05/2010 13:24:15

AVREP.DLL : 8.0.0.7 159784 Bytes 01/05/2010 13:24:15

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 01/05/2010 13:24:12

RCTEXT.DLL : 9.0.73.0 88321 Bytes 01/05/2010 13:24:12

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : samedi 1 mai 2010 17:08

 

La recherche d'objets cachés commence.

'32300' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'29' processus ont été contrôlés avec '29' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '56' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Recherche débutant dans 'E:\' <Documents>

 

 

Fin de la recherche : samedi 1 mai 2010 17:26

Temps nécessaire: 18:41 Minute(s)

 

La recherche a été effectuée intégralement

 

3239 Les répertoires ont été contrôlés

121243 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

121242 Fichiers non infectés

565 Les archives ont été contrôlées

1 Avertissements

1 Consignes

32300 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

Modifié le 1 mai 2010 par fantask

[Gof]

Par contre il me supprimait svhost à chaque fois que j'essayait de le remettre depuis une clé

Oui, tant que la mise à jour corrompue n'était pas corrigée (via un patch ou via le processus de mise à jour de l'outil si le système redémarrait), l'antivirus supprime ce fichier essentiel. C'est pour cette raison qu'il s'acharnait sur celui que tu essayais d'insérer depuis ta clé.

 

Il aurait fallu importer le patch fourni par MacAfee, qui corrigeait la mise à jour et rétablissait la quarantaine. Puis, procéder à une mise à jour de l'antivirus, et tout serait normalement revenu dans le bon ordre. Mais bon, tu as su te dépatouiller visiblement.

 

Concernant l'avertissement d'Antivir, rien d'inquiétant, il est normal. Il s'agit d'un processus système là aussi, utilisé par Windows en même temps. C'est pour cette raison que Antivir ne peut l'analyser, et donc le signale dans son rapport.

[fantask]

Le PC est bien remis d'aplomb, et surtout j'ai compris le fin mot de l'histoire !

Ca fait pas de la bonne pub pour Mc Afee en tout cas.

 

Merci pour ton aide Gof !

[Gof]

Oui, l'image de l'éditeur en prend un coup, clairement. Mais ce n'est pas l'exclusivité de MacAfee, cela arrive assez régulièrement avec les antivirus. Bien souvent, ils sont obligés ensuite de s'approprier les services d'une boite de com' pour essayer de réparer les dégâts en terme de popularité. Ils font aussi parfois des gestes commerciaux à destination de leurs clients.

 

=> Faux positif : McAfee s'excuse et rembourse ?. 26/04/10. « McAfee présente ses plates excuses suite au bug de la mise à jour défectueuse et fait miroiter un remboursement des frais éventuellement engagés pour remettre en état de marche un PC (...). »

Source : http://www.generation-nt.com/mcafee-faux-positif-erreur-mise-jour-windows-xp-remboursement-actualite-1004311.html

Billets en relation :

26/04/10. Les conséquences du bug de Mc Afee : http://www.mag-securs.com/spip.php?article15376

[brèves] Semaine 17/10

 

Si tu estimes ton sujet résolu, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela Clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".