[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

Bonjour,

 

J'ai un probleme lors du demarrage de mon PC (Toshiba portable, Windows XP)... Je pensais qu'il s'agissait d'un bug et ai d'abord poste des messages dans la section "Sofware>Windows XP ne demarre plus" de Zebulon... ou Tibonhomme m'a beaucoup aide puis m'a suggere de venir ici soumettre le probleme. J'espere que vous pourrez m'aider: voila le descriptif:

* au demarrage, le message "Services.exe - Erreur d'application" s'affiche:

"L'instruction a "0x01007c3b" emploie l'adresse memoire "0x909a09f0". La memoire ne peut pas etre "written".

Cliquez sur OK pour terminer le programme.

Cliquez sur Annuler pour deboguer le programme"

* Si je clique OK ou annuler, l'ordi re-demarre...

* Si je ne clique rien, Windows continue a s'ouvrir mais tres lentement (plus de 30 min pour acceder au bureau... barre des taches pas accessibles...).

* Cela arrive aussi en mode sans echec.

* Si je clique sur OK ou Annuler du message d'erreur apres l'ouverture de Windows, une nouvelle fenetre d'erreur s'ouvre avant d'eteindre l'ordi (genre <<...arret initie par "AUTORITE NT\SYSTEM"....C:\WINDOWS\system32\services.exe s'est termine de maniere inattendue avec le code d'etat -1073741819...>>)

 

Tibonhomme pense qu'il pourrait s'agir d'une infection par rootkit kernel-mode de type Rustock ou Haxdoor. Pouvez confirmer et m'aider a le supprimer si c'est le cas, s'il vous plait ?

 

Voici quelques informations complementaires acquises avec OTLPE:

* Extras.Txt: Cijoint.fr - Service gratuit de dépôt de fichiers

* OTL.Txt: Cijoint.fr - Service gratuit de dépôt de fichiers

 

Voici aussi le fichier C:\Windows\ntbtlog.txt : Cijoint.fr - Service gratuit de dépôt de fichiers

 

et le lien vers le rapport d'analyse Virus total pour le fichier C:\Physical0MBR.bin:

VirusTotal - Free Online Virus, Malware and URL Scanner

 

Merci d'avance pour l'aide....

N.

 

P.S.: je ne sais pas si ca a un lien, mais j'ai ete infecte il y un mois par d'autres virus (sujet "[RESOLU] restes de 'HEUR/PDF.Obfuscated' dont rootkit",

http://forum.zebulon.fr/resolu-restes-de-heur-pdfobfuscated-dont-rootkit-t184219.html&p=1544602?do=findComment&comment=1544602)

Modifié le 22 mai 2011 par NickCouk

[tomtom95]

Bonjour NickCouk et bienvenue sur ZEB

 

Quelques conseils avant de commencer

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau et désactive tes protections lors de utilisation des outils

Aprés Pense à réactiver tes protections à chaque fois

 

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

On va commencer par ton infection USB

 

Télécharge sur le site UsbFix (de C_XX- Chiquitine29) sur ton Bureau.

• Lance l'installation avec les paramètres par défaut.
  /!\ Branche tes sources de données externes à ton PC (clé USB,disque dur externe,etc...) sans les ouvrir /!\
  
• Double-clique sur le raccourci UsbFix sur ton Bureau.
  
• Choisis l'option .Suppression
  
• Laisse travailler l'outil.
  
• Ton Bureau disparaîtra et le PC redémarrera.
  
• Au redémarrage
  UsbFix scannera ton PC
  laisse travailler l'outil.
  
• Ensuite
  poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .
  

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

**********************************

 

• Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)
   
  Télécharge
  

List&Kill'em et enregistre le sur ton bureau
Branche tes clés usb,disques durs externes etc..
 
Si tu as XP > double clique sur le raccourci sur ton bureau pour lancer l'installation
 
Coche la case "creer une icone sur le bureau"
 
une fois terminée
clique sur "terminer" et le programme se lancera seul
choisis la langue puis choisis l'option 1 = Mode Recherche
 
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre
dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche
c'est un peu long c'est normal le programme n'est pas bloqué.
 
un rapport du nom de catchme apparait sur ton bureau
ignore-le
ne le poste pas
mais ne le supprime pas pour l instant
le scan n'est pas fini.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
 
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien est créer
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau.

 

A+

Modifié le 30 avril 2011 par tomtom95

[NickCouk]

Bonjour TomTom et merci pour la reponse...

 

J'ai juste une question: jusqu'a present, je n'ai plus reussi a acceder a un environnement Windows operationnel (peut etre si j'attend des heures a l'ouverture... pour l'instant, j'ai abandonne apres 80 minutes d'ouverture de session infructueuse)... Est-ce que les manipulations peuvent etre faites a partir d'un CD? (j'ai LiveUbuntu, xPud et Reatogo-X-PE)...

Si oui, comment desactiver l'UAC, l'antivirus et le pare-feu depuis ces outils (si c'est encore la peine, bien sur...) ?

 

Merci d'avance,

A+

N.

 

P.s: j'ai Windows XP...

Modifié le 30 avril 2011 par NickCouk

[NickCouk]

Bonjour TomTom et merci pour la reponse...

 

J'ai juste une question: jusqu'a present, je n'ai plus reussi a acceder a un environnement Windows operationnel (peut etre si j'attend des heures a l'ouverture... pour l'instant, j'ai abandonne apres 80 minutes d'ouverture de session infructueuse)... Est-ce que les manipulations peuvent etre faites a partir d'un CD? (j'ai LiveUbuntu, xPud et Reatogo-X-PE)...

Si oui, comment desactiver l'UAC, l'antivirus et le pare-feu depuis ces outils (si c'est encore la peine, bien sur...) ?

 

Merci d'avance,

A+

N.

 

P.S.: l'ordi etait equipe de Windows XP

[tomtom95]

NickCouk

 

Oui les indications sont pour XP et vista et seven

Pour toi ne tient compte que XP

 

Avant utiliser un support fait les manips en mode sans échec avec prise en charge reseau .

Redémarrer ton ordinateur en mode sans échec avec reseau

Au démarrage/ ou au redémarrage du pc

après le chargement du bios

appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir.

Une fois arrivé à ce stade sélectionne à l'aide du clavier Mode sans Echec avec reseau.

Dans ce mode tu n'as pas accès à Internet

et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran

icônes très grosses).

Ne sois donc pas étonné.

C'est pour ces différentes raisons que je t'invite à imprimer

noter

ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.

 

A+

[NickCouk]

Salut

 

Merci pour cette reponse rapide.... Cependant, le probleme de demarrage est le meme, meme en mode sans echec... Le demarrage n'est toujours pas fini et toujours pas de barre de taches apres plus d'une heure...

 

A+

N.

[tomtom95]

Refait un tentative pour le mode sans échec avec reseau

éteint ton pc complétement,et au démarrage tapote sur F8

Si le problème continue on vois avec REATOGO

 

A+

[NickCouk]

OK. La tentative est en cours... mais comme je n'ai pas fait de modifications depuis les dernieres tentatives, je doute qu'il y aura du changement... En tout cas, sur les 30 premieres minutes, c'est comme avant: le meme message d'erreur "services.exe - erreur d'application" s'est affiche... je n'y repond pas pour pas qu'il me redemarre l'ordi... l'ecran derriere le message est noir et rien ne se passe pendant une vaingtaine de minutes (19 pour etre precis )... Puis, l'ecran est bleu avec un logo Windows au milieu...

 

A+

N.

Modifié le 30 avril 2011 par NickCouk

[tomtom95]

Je viens de voir ton post, si tu fait une modification de ton message je ne reçoi pas de notification

Je suis entrain de faire un script pour OTL.

 

Comme petitbonhomme ta fait,faire un CD Reatogo-X-PE

Redémarre avec et effectue la procédure USBFix

Des que j'ai fini on vois pour le script (c'est un peu long )

 

A+

[NickCouk]

Je viens de voir ton post, si tu fait une modification de ton message je ne reçoi pas de notification

Je suis entrain de faire un script pour OTL.

Ooops... desole... en tout cas, j'ai finalement quasiment tout le bureau apres plus d'une heure, mais toujours pas ma barre de taches...

 

 

Comme petitbonhomme ta fait,faire un CD Reatogo-X-PE

Redémarre avec et effectue la procédure USBFix

Des que j'ai fini on vois pour le script (c'est un peu long )

OK... Ca marche...

A+

N.