[Résolu] MBAM plante et RKILL ne detecte rien : malware "invisible

[ypicot]

Bonjour,

 

Je pense être en présence d'une bestiole qui dépasse mes capacités.

 

Système :

- Windows XP SP3, à priori à jour de tous les patchs.

- Firefox 3.6.10

- Antivirus GData 2010, à jour

 

 

Historique :

- en cours de surf, j'ai eu des alertes de GData. J'ai interdit l'accès à la machine aux composants déclarés suspects.

- je me suis retrouvé avec le panneau d'alerte de "antivirus 2010". Une rapide recherche sur internet m'a appris que c'était un trojan. J'ai donc essayé de le supprimer, mais il semblerait que je l'ai mal fait ou bien que je me sois retrouvé avec une autre bestiole.

 

 

Synthèse des essais effectués (la plupart après lecture de ce forum) :

- scan de la machine avec le cd de boot de GData, qui n'a rien trouvé du tout (y compris avant que je "désinstalle" "antivirus 2010").

- passage en mode sans echec avec connexion réseau. Au passage, dans ce mode-là, j'ai tout de même accès à internet, puisque je suis derrière une box. Toutes les essais décrits ci-dessous ont été réalisés dans ce mode, en admin.

- lancement de RKill : s'exécute en 2-3 secondes (dixit le log), et ne trouve pas d'autre process que lui-même. Au passage, lors de l'affichage du rapport, j'ai un msg d'alerte de windows comme quoi je suis en mode sans echec.

- lancement de TDSSKiller : s'exécute en 20-22 secondes, scanne 214 objets et ne trouve aucune infection. Rapport : Cijoint.fr - Service gratuit de dépôt de fichiers

- installation (suivie de mise à jour) de MBAM

- lancement de MBAM : arrêt au bout de 1 secondes après avoir cliqué sur le bouton "rechercher". Plus rien, rideau, fermeture brutale de l'appli.

- 2ème lancement de MBAM : message "windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié..."

pour relancer MBAM, il faut désinstaller / réinstaller.

à titre indicatif, j'ai le même comportement (plantage au 1er lancement, message windows aux suivants) avec Glary Utilities et ZHPDiag

- AD Remover ne trouve rien (après un scan, le bouton "Nettoyer" est désactivé). Report : Cijoint.fr - Service gratuit de dépôt de fichiers

- HiJackThis plante avec le même message "windows ne parvient pas à accéder ..."

- Tentative d'installation d'antivir : message "Echec de l'installation de Microsoft Runtime Redistribuable Kit. Cela est vraisemblablement dû à une mise à jour Windows exécutée en parallèle..."

- Emisoft Anti-Malware plante à la mise à jour, mais à la décence d'émettre un rapport : Cijoint.fr - Service gratuit de dépôt de fichiers

- Après un passage de TFC, Emisoft se lance et se met à jour. Le résultat du scan est ici : Cijoint.fr - Service gratuit de dépôt de fichiers.

Les alertes correspondent un logiciel de poker installé (en juin) puis désinstallé (hier), et à des trucs que j'ai développé en Delphi il y a plusieurs années de cela.

 

Je remercie par avance la bonne âme qui pourra m'éviter le reformatage simple et brutal. J'espère que vous considérerez ce cas comme intéressant.

 

Yvan

Modifié le 28 septembre 2010 par ypicot

[nardino]

Bonjour,

 

Fais les scan rkill et Malwarebytes en mode sans échec.

@+

[ypicot]

Toutes les manip ci-dessus ont été faites en mode sans échec avec connexion réseau.

 

Là, j'ai rebooté (pour faire la manip décrite en mode sans echec SANS connexion réseau, la réponse est simple :

-------------------------------------------------------

stop :c000021a {Erreur systeme irrecuperable}

Le processus systeme windows logon process s'est terminé avec l'état 0xc0000022 (0x00000000 0x00000000)

Le système a été arrété.

-------------------------------------------------------

 

Que ce soit en mode sans échec, sans échec avec réseau, sans echec en ligne de commande ou normal, j'ai le même écran bleu.

 

Je tiens à préciser que je n'ai fait aucune modif sur le pc dans l'intervalle (oui, j'ai lu les faq et autres conseils), me contentant d'essayer de rassembler le maximum d'information.

 

Yvan

Modifié le 26 septembre 2010 par ypicot

[nardino]

Bonjour,

Télécharge OTL de OldTimer sur ton bureau.

Clique sur OTL.exe

Coche :

En haut, à droite

• -Tous les utilisateurs
  -Avec analyse 64 bits sera coché automatiquement si c'est la cas de ton système.
  -Rapport standard

En bas, à droite

• -Recherche LOP
  -Recherche Purity

 

Processus, Services, Drivers, Registre:Standard, Modules, Pilotes doivent être sur [Avec liste blanche] par défaut.

Registre : approfondi est sur Aucun.

 

 

Clique sur le bouton [Analyse] en haut en bleu.

L'analyse va prendre une ou deux minutes.

Une fois celle-ci terminée un rapport va s'ouvrir

Tu postes ce rapport par copier-coller et tu le fermes.

Tu fermes aussi le fichier Extras.txt dans la barre des tâches, il sera demandé en cas de nécessité.

Ils seront sauvegardés sur le bureau (OTL.txt et Extras.txt) ou dans le dossier où se trouve OTL.exe.

En cas de difficulté pour poster les rapports par copier-coller, tu peux les héberger sur Cjoint.com

Poste les liens obtenus dans ce cas.

@+

[ypicot]

Heuuu.... tu as peut-être mal lu mon msg précédent.

 

Je n'ai plus du tout accès à mon PC.

 

Même "Dernière bonne configuration connue" donne le même écran bleu.

 

[Edit] : désolé, c'est moi qui ai manqué de précision.

J'ai cet écran bleu AU BOOT.[/edit]

 

Yvan

Modifié le 26 septembre 2010 par ypicot

[nardino]

Bonjour

Si la console de récupération n'est pas installée, tu la lances à partir du cd d'installation.

 

Et dans l'invite de commandes tu lances chkdsk /f /r pour réparer les fichiers.

 

@+

[ypicot]

Dire que j'anime des stages sur la programmation objet et que je ne connaissais même pas la console de récupération...

 

Le chkdsk a été lancé à partir du CD, mais comme c'est un CD de XP SP2, j'avais uniquement l'option /r (je suppose que le /f est arrivé avec la SP3).

Résultat :

"des erreurs ont été corrigées" (dixit chkdsk) (vu qu'il a bossé plus de 5h, je n'en attendais pas moins).

 

Et j'ai toujours l'écran bleu au démarrage, avec la même erreur.

 

Existe-t-il un outil de diag du système en ligne de commande ou sous linux ? (system rescue cd n'en a pas).

 

En tous cas, merci beaucoup pour tes efforts et ta patience.

 

Yvan

[nardino]

Bonsoir,

Toujours par la console de récupération, fais un fixboot et si le pc ne démarre toujours pas fais un fixmbr.

Si cela coince encore,il y aura la possibilité de faire un scan avec un antivirus sur cd live :

En voici deux qui se mettent à jour avant de lancer le scan.

Choisis celui que tu veux.

Antivirus en live cd

 

@+

[ypicot]

Petit point sur la situation :

fixboot et fixmbr n'ont rien changé à la situation :

le disque démarre, windows se lance pendant 2 à 3 secondes, puis écran noir, puis écran bleu avec l'erreur ci-dessus.

Je me suis amusé à différents diag avec Ultimate Boot CD (dont une analyse de surface du disque qui a trouvé que tout était ok) : RAS.

 

Dr Web a eu un comportement bizarre, dans la mesure où l'écran de "résultat" m'a simplement affiché "4948 killed", et non un beau résultat comme sur la capture sur ton tuto (au passage, bien fait, merci). J'ai essayé de trouver un fichier de log, sans succès (en plus ce n'est pas facile avec un clavier allemand).

Antivir (lancé après) a trouvé un "TR/Fraupack" dans un des volumes de restauration. Il l'a renommé. Par ailleur, je n'ai eu aucun des symptômes de ce virus décrits sur internet.

 

A tout hasard, j'ai copié le journal des évènements du boot : www.cijoint.fr/cjlink.php?file=cj201009/cijTpDYDdb.txt

J'ai vaguement comparé avec celui d'une autre machine, rien n'a semblé étrange à mon oeil de non-spécialiste dont l'absence de compétence dans le domaine est mondialement reconnue.

 

Yvan

Modifié le 27 septembre 2010 par ypicot

[nardino]

Bonsoir,

 

Ce truc a l'air d'un vrai calvaire à un stade de l'infection.

J'ai eu deux échec hier, dont ton cas, et un en "live" aujourd'hui.

Je galère depuis trois heures dessus.

Désolé mais il semble que la sauvegarder des données et un format-réinstall soient les seules solutions envisageables dans l'état actuel des choses.

Pour info as-tu eu une demande de chargement de codec ou quelque chose de ce genre ?

 

@+