Portable Asus infecté, pas moyen de booter sur les DVD de sauvegarde

[philstev]

Bonjour à tous,

 

Bravo, tout d'abord, pour la qualité du site et pour l'esprit d'entraide et de coopération du forum.

 

Je me permets de créer un nouveau sujet, parce que je n'ai trouvé aucune réponse définitive à mon problème sur internet ces 3 derniers jours.

 

Mon fils ainé semble avoir été victime d'une infection virale sur internet, et depuis, plus moyen de faire démarrer Windows sans déboucher sur le "system recovery" qui ne parvient toutefois pas à résoudre le problème. Il n'y a par ailleurs pas moyen d'aller plus loin dans l'ouverture de Windows.

 

 

Le portable:

 

Asus K50IJ

Windows 7 familial premium

Antivirus: Antivir (version free)

 

- Le systeme de restauration ne parvient pas à trouver de solution.

- J'ai tenté plusieurs fois de restaurer un point de restauration antérieur (il n'y en a que 3 et ils sont récents) - à l'écran s'affiche que le point a été restauré, mais le problème persiste.

- J'ai tenté de restaurer à partir des DVD de restauration gravés peu après l'achat du PC, mais pas moyen de booter dessus (le lecteur démarre puis s'arrête).

- Pas moyen de booter sur aucun CD ou DVD (quoique j'ai essayé une fois sur un CD d'origine XP et là cela démarrait et proposait d'installer XP) (je précise que j'ai bien paramétré le Bios pour démarrer sur CD/DVD).

- Seule possibilité de boot: sur clef USB: du coup, j'ai sauvegardé les données importantes avec un Ubuntu live USB, puis j'ai fait un scan avec l'antivirus live de Norton, de Dr Web et Antivir qui m'ont trouvé et détruit plusieurs virus dont: TR/TDss.38.19

 

Je suis un peu dans une impasse et je vous appelle à l'aide, parce que j'ai un peu l'impression de tourner en rond.

 

Merci d'avance pour toute aide à ce sujet.

 

Cordialement,

 

 

Philippe

Modifié le 26 juin 2011 par philstev

[bernard53]

Bonjour

 

Dans un premier temps possible que le boot soit corrompu donc essai ceci.

 

Réparer démarrage Vista.

 

Avec la console de réparation winre, ouvre l'invité de commande et tapes les commandes suivantes en validant par "Entrée" entre chaque (1 ligne = 1 commande) :

 

c:

cd\

cd boot

bootrec.exe /fixmbr

 

Si aucun résultat, utilise :

c:

cd\

cd boot

bootrec.exe /fixboot

 

 

A chaque fois, retire le CD winRe du lecteur et redémarre.

 

Info complémentaire.

Comment faire pour utiliser l'outil Bootrec.exe dans l'environnement de réparation Windows pour dépanner et résoudre des problèmes de démarrage dans Windows Vista

 

Pour Vista et Seven : cd WinRE :

Télécharger la console de réparation de Vista ou Seven:WinRE : Astuces pour dépanner Vista et Seven

[philstev]

Bonjour Bernard53 et merci de te pencher sur mon problème.

 

J'ai effectué les manipulations prescrites (mais pas à partir du CD WinRe puisqu'il n'y a pas moyen de booter sur un CD ou un DVD, mais à partir de l'environnement winRE proposé par la partie de de Win7 encore active sur le portable).

 

Les deux commandes ont été effectuées avec succès, mais sans résultat (je veux dire sans résoudre mon problème).

 

J'ai donc fait la 3ème manipulation proposée dans le lien que tu m'as envoyé, à savoir:

 

bcdedit /export C:\BCD_Backup

c:

cd boot

attrib bcd -s -h -r

ren c:\boot\bcd bcd.old

bootrec /RebuildBcd

 

à la fin de cette manipulation, il était indiqué (je cite de mémoire) qu'il y avait un windows dans la partition E (qui est je pense la parition de l'OS sur cet Asus) et on me demandait si je voulaisl'ajouter à la liste de boot: j'ai dit oui, mais par la suite, j'ai eu un message d'erreur me disant que windows n'avait pu se charger en raison d'un fichier manquant ou endommagé.

 

On me demandait ensuite de redémarrer sur les CD d'installation, ce qui ne fonctionne pas malgré la priorité mise sur le lecteur de CD/DVD dans le Bios.

 

Que dois-je faire maintenant?

Modifié le 26 juin 2011 par philstev

[bernard53]

ok essai ceci alors.

 

toujours avec WinRE, et avec l'invité de commande ceci.

 

 

 

chkdsk* /p*/r *pour un espace

 

valides par entrée puis O pour accepter.

 

 

- Windows affiche : type fichier NTFS : impossible de verrouiller le lecteur en cours

CHKDSK ne peut s'exécuter parce que le volume est utilisé par un autre processus.

Voulez vous que ce volume soit vérifier au prochain démarrage : Oui ou Non

Valider O et Redémarrer le pc.

 

Quittes cette fenêtre maintenant en marquant exit : valides par entrée

Si cela ne fonctionne pas tapes ceci dans cette même fenêtre.

SFC*/SCANNOW *pour un espace

 

si cela ne fonctionne pas on fera autrement.

[philstev]

Bonne nouvelle, l'ordinateur a redémarré: comme il n'y avait pas moyen de booter sur le lecteur de CD, j'ai mis une version bootable de windows 7 sur un clef usb, et de cette clef, j'ai pu démarrer une réparation qui s'est avérée fructueuse: les manipulations que tu m'avais conseillées hier ont donc eu un résultat positif. Un tout grand merci, cela faisait 3 jours que je ramais.

 

Il me reste maintenant à vérifier si le PC est encore infecté, et le nettoyer si nécessaire: que me conseilles-tu? Hijackthis?

 

En attendant de tes nouvelles, je vais lancer un petit Nod32 en ligne pour faire un premier bilan!

[philstev]

Nod32 a découvert et supprimé une variante de win32adware Bandoo; par contre, avira, l'antivirus résident, reparle de TR/TDss 38.19 qu'il avait soit-disant déjà éradiqué: doit-on passer à Combofix?

[bernard53]

Laisse Combofix dans l'immédiat et fait ceci.

 

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

ou la:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

 

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

 

A cette fenêtre lance le scan.

 

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

 

Ensuite ceci s.t.p

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

http://www.cijoint.fr/index.php

[philstev]

Voici le lien avec le rapport ZHPdiag:

 

 

Cliquez ici.

 

 

Je sens que les choses progressent, merci.

Modifié le 28 juin 2011 par philstev

[bernard53]

ok fait ceci s.t.p

 

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M3 - MFPP: Plugins - [steevy] -- C:\Users\Steevy\AppData\Roaming\Mozilla\Firefox\Profiles\7w3xgecy.default\searchplugins\SearchquWebSearch.xml

G1 - GCS: Preference [user Data\Default] Search

G0 - GCSP: Preference [user Data\Default][HomePage] Search

R3 - URLSearchHook: Tom's Guide France Toolbar [64Bits] - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.4.1) -- C:\Program Files (x86)\Tom's_Guide_France\tbTom'.dll

R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0

O2 - BHO: Conduit Engine [64Bits] - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll

O2 - BHO: Tom's Guide France Toolbar [64Bits] - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Tom's_Guide_France\tbTom'.dll

O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline

O4 - HKLM\..\Wow6432Node\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)

O4 - HKUS\S-1-5-21-237934955-3186207828-1074206001-1000\..\Run: [AdobeBridge] Clé orpheline

O8 - Extra context menu item: Download all by YouTube Robot - (.not file.) - C:\Program Files (x86)\YouTubeRobot\downall.htm

O8 - Extra context menu item: Download by YouTube Robot - (.not file.) - C:\Program Files (x86)\YouTubeRobot\downlink.htm

O23 - Service: AFBAgent (AFBAgent) . (...) - C:\Windows\system32\FBAgent.exe (.not file.)

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine

O42 - Logiciel: Tom's Guide France Toolbar - (.Tom's Guide France.) [HKLM][64Bits] -- Tom's_Guide_France Toolbar

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\conduitEngine]

[HKCU\Software\AppDataLow\Software\searchqutb]

[HKCU\Software\AppDataLow\Toolbar]

[HKCU\Software\Conduit]

[HKCU\Software\SearchquMediabarTb]

[HKCU\Software\uew83jecdiqn]

[HKLM\Software\Bandoo]

[HKLM\Software\Conduit]

O43 - CFD: 5/14/2011 - 3:24:56 PM - [532064] ----D- C:\Program Files (x86)\Conduit

O43 - CFD: 5/14/2011 - 3:24:52 PM - [3984239] ----D- C:\Program Files (x86)\ConduitEngine

O51 - MPSK:{0cc0420e-820f-11e0-ae58-90e6bae906db}\AutoRun\command. (...) -- G:\autorun.bat (.not file.)

O69 - SBI: SearchScopes [HKCU] {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} [DefaultScope] - (Web Search) - Search

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Tom's Guide France Customized Web Search) - http://search.conduit.com

[HKLM\Software\Classes\AppID\bandoocore.exe]

[HKLM\Software\Wow6432Node\Classes\AppID\bandoocore.exe]

[HKLM\Software\Classes\bandoocore.bandoocore]

[HKLM\Software\Wow6432Node\Classes\bandoocore.bandoocore]

[HKLM\Software\Classes\bandoocore.bandoocore.1]

[HKLM\Software\Wow6432Node\Classes\bandoocore.bandoocore.1]

[HKLM\Software\Classes\bandoocore.resourcesmngr]

[HKLM\Software\Wow6432Node\Classes\bandoocore.resourcesmngr]

[HKLM\Software\Classes\bandoocore.resourcesmngr.1]

[HKLM\Software\Wow6432Node\Classes\bandoocore.resourcesmngr.1]

[HKLM\Software\Classes\bandoocore.settingsmngr]

[HKLM\Software\Wow6432Node\Classes\bandoocore.settingsmngr]

[HKLM\Software\Classes\bandoocore.settingsmngr.1]

[HKLM\Software\Wow6432Node\Classes\bandoocore.settingsmngr.1]

[HKLM\Software\Classes\bandoocore.statisticmngr]

[HKLM\Software\Wow6432Node\Classes\bandoocore.statisticmngr]

[HKLM\Software\Classes\bandoocore.statisticmngr.1]

[HKLM\Software\Wow6432Node\Classes\bandoocore.statisticmngr.1]

[HKLM\Software\Classes\Conduit.Engine]

[HKLM\Software\Wow6432Node\Classes\Conduit.Engine]

[HKLM\Software\Classes\Toolbar.CT2583879]

[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2583879]

[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]

[HKLM\Software\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}

[HKLM\Software\Wow6432Node\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]

[HKLM\Software\Classes\Wow6432Node\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]

[HKLM\Software\Classes\Interface\{477f210a-2a86-4666-9c4b-1189634d2c84}]

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8a96af9e-4074-43b7-bea3-87217bda74c8}]

[HKLM\Software\Classes\Wow6432Node\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]

[HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]

[HKLM\Software\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}]

[HKLM\Software\Wow6432Node\Bandoo]

[HKCU\Software\Conduit]

[HKCU\Software\AppDataLow\Software\Conduit

[HKCU\Software\AppDataLow\Software\conduitEngine]

[HKLM\Software\Wow6432Node\conduitEngine]

[HKCU\Software\SearchquMediabarTb]

[HKCU\Software\AppDataLow\Toolbar]

C:\Users\Steevy\Appdata\LocalLow\Conduit

C:\Users\Steevy\Appdata\LocalLow\ConduitEngine

C:\Users\Steevy\Appdata\Local\Temp\AskSearch

C:\Program Files (x86)\Conduit

C:\Program Files (x86)\ConduitEngine

C:\Users\Steevy\AppData\Roaming\Mozilla\Firefox\Profiles\7w3xgecy.default\SearchPlugins\SearchquWebSearch.xml

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite ceci.

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

Après dis moi comment va ton pc s.t.p

 

PS tdsskiller a trouvé quelques choses ou pas

Modifié le 28 juin 2011 par bernard53

[philstev]

Voici le rapport de ZHPfix: Cliquez ici.

 

Voici le rapport de Malwarebytes : Cliquez ici.

 

Dans le rapport dz ZHPfix, il semblerait que tous les points ont pu être traités à l'exception de 2

 

Par contre, le rapport de Malwarebytes est complètement négatif: bravo!

 

Pour le reste, je pense que le pc fonctionne normalement (mais c'est celui de mon fils, donc je ne le connais pas).

 

Une chose cependant ne fonctionne pas encore: toujours pas moyen de booter sur un cd ou dvd (le bios étant correctement configuré); le lecteur de dvd ne semble pas tourner normalement non plus dans une session win7 : lorsqu'un cd est mis dans le lecteur et que l'on double-clic sur l'icône du lecteur, on obtient le message suivant:

 

"E:\

application introuvable"

 

Les virus auraient-ils corrompu le pilote de ce lecteur?

 

Une dernière chose, TDssKiller avait trouvé un point que j'ai demandé de supprimer, mais suite à une fausse manoeuvre, j'ai perdu le rapport, sorry!

Modifié le 28 juin 2011 par philstev