Infection

[Yann-Paol]

J'ai bien collé la version modifiée. Mais le même arrêt s'est produit au même endroit.

Je fais le lien avec ce que vous évoquiez: "Vous pouvez être invité à insérer un CD-ROM Windows XP Professionnel
le CD n'est pas conforme à la version installée". Nativement, il s'agissait bien d'une version Windows 7 64 bits installée par le constructeur. Je n'ai, de ce point de vue, que la sauvegarde sortie d'usine que j'ai faite à l'époque et qui comporte 7 DVD, je crois. J'ai par ailleurs téléchargé et grâvé la version correspondante de Windows, mais, comme je l'ai utilisée sur mon ordinateur pour essayer des réparations, j'hésite à l'employer. Je préfèrais la re-télécharger. Ce qui a été trafiqué ensuite, et dont nous essayons de nous défaire, est, semble-t-il, basé sur un XP Pro 32 bits, ou alors est-ce du camouflage?

Est-ce que j'essaie votre programme pour version 32 bits? ou autre chose?

[pear]

Si j'en crois Otl, c'est un Xp 64 bits:

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Vous me parlez de Windows 7.

Je ne vous suis pas, là.

La procédure Sfc proposée est pour Xp.

Elle diffère pour Win7 qui n'a pas besoin de cd.

[Yann-Paol]

Je vous joins ce que je viens de copier-coller à partir de la fenêtre: "Informations et outils de performance", sur mon écran.

http://cjoint.com/?3IeqeweQiEI

J'ai acheté l'ordinateur neuf en magasin. Il a toujours fonctionné - apparemment - comme un PC portable sous Windows 7, autant que je puisse en juger.

Voici les caractéristiques spécifiées par le constructeur HP:

http://cjoint.com/?3IeqIr0hB6U

Je n'ai indiqué que le début, le reste faisant double par rapport aux informations données par Windows.

En revanche, en cherchant ces renseignements, j'ai vu que HP indique que mon fournisseur d'accès est "proxad.net", alors qu'il s'agit de Free.

Y a-t-il un autre moyen de vous attester de ma bonne foi? Que dois-je faire?

[pear]

Mais jamais je n'ai douté de votre bonne foi.

 

Proxad c'est Free.

 

La procédure pour Win7:

 

Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés sur Windows Vista ou Windows 7


1) Ouvrez une invite de commandes avec élévation de privilèges.
Pour ce faire, cliquez sur Démarrer-> Tous les programmes->Accessoires->Clic sur Invite de commande et Exécuter en tant qu'administrateur.
Si vous êtes invité à donner un mot de passe administrateur ou à confirmer une opération, tapez le mot de passe ou cliquez sur Autoriser.
À l'invite de commandes,copiez/collez la commande suivante et valdez:
sfc /scannow
La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.

2)Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

Ouvrez une Invite de commande et Exécuter en tant qu'administrateur.
À l'invite de commandes,copiez/collez la commande suivante
findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt
Validez
ou
Télécharger cbslog.bat
Enregistrez-le sur le Bureau
Clic droit sur cbslog.bat
Le rapport sfcdetailsrepair.txt s'affiche,


Le fichier Sfcdetails.txt contient les détails de ce qui a été vu chaque fois que l'outil Vérificateur des fichiers système a été exécuté sur l'ordinateur.
Le fichier comprend des informations sur les fichiers qui n'ont pas été réparés par l'outil
Vérifiez les entrées de date et heure pour déterminer le fichiers de problème qui ont été trouvés à la dernière fois que vous avez exécuté l'outil Vérificateur des fichiers système.
Tapez sfcdetails.txt dans les fichiers et programmes de recherche, puis appuyez sur entrée.

Le fichier Sfcdetails.txt utilise le format suivant :
Détail SFC date/heure



L'exemple de fichier journal suivant contient une entrée pour un fichier qui n'a pas pu être réparé. :

2007-01-12 12:10:42, Info
CSI 00000008 [sR] Cannot repair member file [l:34{17}]"Accessibility.dll" of Accessibility,
Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_MSIL (, Culture neutral,
VersionScope neutral, PublicKeyToken = {l:8 b:b03f5f7f11d50a3a},
Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

[Yann-Paol]

La commande sfc /scannow a indiqué à la fin de l'analyse qu'elle n'avait constaté "aucune violation d'intégrité".

Voici les fichiers journaux, que j'ai dû refaire car je n'arrivais pas à mettre la main dessus, même en faisant comme vous l'indiquez ou en les enregistrant sur le bureau.

http://cjoint.com/?3IesESF63Ma

http://cjoint.com/?3IesO3HBAqf

Ils n'indiquent, eux non plus, aucun problème, si je lis bien. Cela ne m'étonne pas. Mes observations des derniers mois m'invitent à penser que les outils d'analyse de Windows ont été eux aussi trafiqués.

J'attends de nouvelles instructions. Merci pour votre disponibilité.

 

[pear]

On a tenté tout ce qui était possible.

A ce stade, si les problèmes perdurent je ne vois pas d'autre issue qu'un réinstallation de Windows après avoir sauvegardé vos donnèes sur un disque externe ou sur dvd.

[Yann-Paol]

Bien.

Je vous remercie pour cet accompagnement à distance. Autant j'ai été sidéré parfois, ces derniers mois, de percevoir l'intelligence et les connaissances mises au service du mal, disons, autant je trouve réconfortant que des personnes, comme sur ce forum, s'en servent pour aider d'autres. Merci, donc.

Formater. Réinstaller Win 7. Je l'ai fait déjà plusieurs fois. J'ai l'impression qu'il demeure toujours une partition cachée sur le disque dur, avec les prémices des programmes qui ensuite deviennent envahissants. Comme si je ne pouvais jamais repartir sur une base saine.

Avez-vous des conseils à me donner sur ce point?

Est-ce que je peux me fier aux DVD de récupération que j'ai grâvés à l'achat ou bien ont-ils pu eux aussi être traffiqués quand je les ai utilisés sur la machine infectée?

 

Ce qui est sûr, c'est que l'infection se développe progressivement. Je le vois dans l'explorateur où des noms de dossiers se trouvent redoublés, mais, l'ancien apparaît en bleu, comme des fichiers compressés, ce qui est normal, le nouveau en noir (Mes documents/Mes documents, Menu démarrer/Menu démarrer - et les noirs sont indiqués comme étant des raccourcis). Je pense donc redemander raidement de l'aide quand j'aurai réinstallé windows. Mais ce ne sera pas tout de suite: ces derniers jours mon travail n'a guère avancé. Je dois m'y mettre.

Dois-je faire quelque chose pour clore cet échange?

[pear]

 

Réinstaller Win 7. Je l'ai fait déjà plusieurs fois. J'ai l'impression qu'il demeure toujours une partition cachée sur le disque dur, avec les prémices des programmes qui ensuite deviennent envahissants.

Si , comme c'est normalement fait, vous formatez avant le réinstallation, vous devez être tranquille.

Vous pouvez faire confiance aux dvd de restauration.Leur usage sur machine infectée ne les pollue pas.

 

Mais avant cela essayez cette recherche:

 

Certains émulateurs de CD/DVD peuvent crocheter(Hook) le pilote atapi de façon légitime comme Alcohol xx%,CDSpace,Circle Virtual CD,CloneCD,Daemon Tools,Virtual CloneDrive,Virtual CD,VirtualDrive,

WinCDEmu,et empêchent donc un affichage.

Télécharger DeFogger de Jpshortstuff sur le bureau.

 

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

 

Téléchargez sur le bureau

MBR Rootkit Detector by gmer

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

Vous les réactiverez après la désinfection terminée.

Clic sur l'onglet "rootkit"

Clic sur Scan

- Un rapport sera généré -> mbr.log.

En Copier/coller le résultat dans la réponse .

si votre machine est saine,

Mbr.log vous dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Modifié le 5 septembre 2013 par pear

[Yann-Paol]

Merci!

Voici les rapports:

 

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:02 on 05/09/2013 (Socrate)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

 

____________

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601

device: opened successfully
user: error reading MBR
error: Read Descripteur non valide
kernel: error reading MBR

 

_________

 

 

Plus celui-ci - J'ai eu du mal à ce que fonctionne MBR Rootkit Detector, c'était un terminal avec lignes de commande, sans onglets. J'ai préféré le refaire en passant par le lien indiqué par l'éditeur dans votre message, et, voulant aller vite, je me suis trompé d'outil.

 

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-09-05 15:50:26
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000065 ST950042 rev.0001 465,76GB
Running: qsk3sllw.exe; Driver: C:\Users\Socrate\AppData\Local\Temp\uwdiikoc.sys


---- User code sections - GMER 2.1 ----

.text C:\Windows\SysWOW64\ezSharedSvcHost.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076001465 2 bytes [00, 76]
.text C:\Windows\SysWOW64\ezSharedSvcHost.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000760014bb 2 bytes [00, 76]
.text ... * 2
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[2208] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076001465 2 bytes [00, 76]
.text C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe[2208] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000760014bb 2 bytes [00, 76]
.text ... * 2
.text C:\Program Files (x86)\Secunia\PSI\sua.exe[2288] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076001465 2 bytes [00, 76]
.text C:\Program Files (x86)\Secunia\PSI\sua.exe[2288] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000760014bb 2 bytes [00, 76]
.text ... * 2
.text C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe[4680] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076001465 2 bytes [00, 76]
.text C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe[4680] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000760014bb 2 bytes [00, 76]
.text ... * 2

---- Kernel IAT/EAT - GMER 2.1 ----

IAT C:\Windows\System32\win32k.sys[ntoskrnl.exe!KeUserModeCallback] [fffff88004501d18] \SystemRoot\system32\DRIVERS\klif.sys [PAGE]

---- Threads - GMER 2.1 ----

Thread c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe [3936:2720] 000007fef4373e0c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe [3936:2784] 000007fef41a838c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe [3936:412] 000007fef4373e0c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe [3936:2788] 000007fef404c680
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe [3936:2064] 000007fef4373e0c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3944:3988] 000007fef4373e0c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3944:3992] 000007fef4373e0c
Thread c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3944:3996] 000007fef404c680

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713de1f1e
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713de1f1e@2c44017ca4a7 0xC3 0x75 0xD0 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713de1f1e@1846174baa0c 0x50 0x11 0xD0 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713de1f1e (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713de1f1e@2c44017ca4a7 0xC3 0x75 0xD0 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713de1f1e@1846174baa0c 0x50 0x11 0xD0 0x00 ...

---- EOF - GMER 2.1 ----

 

[pear]

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.
Télécharger combofix.exe de Subs

et sauvegardez le sur le bureau


Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc..

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.


2)Vous avez téléchargé Combofix.
Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré
Il se trouve à c:\combofix.txt

Comment poster les rapports
Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution à privilégier pour un rapport lourd
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.