Symptômes d'infection persistants et non détection de malwares

[Invité Galyâd]

Bonjour,

 

Plusieurs symptômes me font penser à la présence depuis plusieurs jours d'un virus (ou cheval de Troie) dans mon système :

 

- au démarrage, le système désactive puis réactive le pare-feu windows, et fait de même avec l'antivirus (constaté en visualisant les icônes de la barre d'outils) - un peu à la manière d'une personne qui ouvre une barrière, passe de l'autre côté, puis la referme ;

 

- au démarrage, l'apparence de la fenêtre de connexion est différente de celle avant l'infection (supposée) ; le démarrage système est plus lent ;

 

- lorsque les mises à jour automatiques sont activées, cela déclenche à chaque démarrage un flux de données vers la box (constaté en visualisant l'activité des paquets envoyés) qui ne s'arrête pas tant que la connexion reste active ;

 

- le fait de désactiver les mises à jour automatiques, de télécharger en manuel les mises à jour sur le site windows, ne change rien. Si les mises à jour auto sont réactivées au démarrage suivant, j'ai à nouveau une notification pour télécharger ces mêmes mises à jour ;

 

- plusieurs scans de MalwareBytes et Spybot n'ont à priori rien détecté.

 

J'aimerai savoir ce qu'il en est exactement.

 

Merci pour votre aide.

[pear]

Bonjour,

 

Il faut savoir que Spybot utilise une technologie dépassée.
Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....
Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.


Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Vaccination Spybot
Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"
cliquez sur "Vaccination" dans la colonne sur la gauche :
Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

Désinstaller Spybot

 

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autre lien en cas de défaiillance du précédent

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Invité Galyâd]

Bonsoir Pear,

 

Après un dernier scan de MBAM sans résultat, j'ai procédé comme indiqué pour lancer ZhpDiag. Mais lorsque je clique sur "Rechercher", il ne se passe rien (ni à l'écran, ni rapport).

Y a-t-il d'autres manips à effectuer ?

 

Merci.

[pear]

Télécharger OTL sur le bureau
Double cliquer sur l'icône




Si la protection en temps réel de Malwarebytes Anti-Malware est activée..
Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
afd.sys
ahcix86s.sys
atapi.sys
iaStor.sys
iastorv.sys
ipsec.sys
netbt.sys
tcpip.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
explorer.exe
ntoskrnl.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution à privilégier pour un rapport lourd
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Invité Galyâd]

Bonjour,

 

Voici le rapport : http://cjoint.com/?0JevkACvuUm

Seul le fichier OTL.txt a été généré (pas d'Extras.txt).

[pear]

Votre rapport est propre.

Pas de trace d'infection.

 

Il se pourrait que vous ayez une ou pluseurs extensions perverses.

Mon conseil:

Réinitialiser le navigateur

 

Vous pourrez rétablir celles qui vous sont indispensables.

 

Démarrer->EXécuter->Chkdsk /f/r

ou en console de récupération:
Chkdsk /p/r

il y a un espace après le k.

Windows vous dira qu'il ne peut executer cette commande car le disque est en "application"
et il vous proposera d'effectuer chkdsk au prochain redémarrage,
tapez O pour accepter, puis valider. et redémarrez le pc
La fonction chkdsk s'exécutera alors automatiquement.

[Invité Galyâd]

Merci pour l'analyse.

 

Le chkdsk s'est bien déroulé.

La navigation est en effet plus fluide après réinitialisation du navigateur, mais le pc montre tjs les mêmes symptômes au (re)démarrage, et antivirus et parefeu sont désactivés durant qqs 10 à 20 secondes après saisie du mot de passe de connexion quand les mises à jour auto sont actives...

L'apparence des fénêtres de connexion et avant apparition du bureau est aussi tjs la même...

 

Cela signifie-t-il que l'OS a été touché mais sans infection (certaines icones du menu Démarrer (ex: calculatrice) avaient changé) suite à une mauvaise manip ?

 

.

[pear]

 

Cela signifie-t-il que l'OS a été touché mais sans infection

 

C'est en effet probable.

Si vous disposez du cd de xp, vous pouvez envisager une réinstallation.

[Invité Galyâd]

Bonjour,

 

C'est une version "HDD recovery" sans cd d'installation. Je n'ai que le n° du certificat d'authencité.

Y a-t-il un risque à réinstaller via une iso (SP3) gravée sur CD ?

[pear]

Ce n'est plus de mes compétences.

Je vous conseille le forum Sportware