virus ou pas ?

[HervéLille]

Mon portable IBM est complétement bloqué. Configuration avec W2000 et démarrage sous administrateur ou pas. Le portable sert également au bureau à une connexxion réseau. Le sablier est bloqué. On ne peut cliquer sur aucun icône. On a accés à rien même pas au menu démarrer. La seule chose accessible est ctrl+alt+supp qui donne le CPU explorer à 99%.Si on tue ce processus, un autre apparait "proc inactif au démarrage" et on ne peut pas le tuer.Idem en mode sans échec ou avec la dernière config connue. Je ne peux pas formater car j'ai des donnés importantes.

Je peux démarrer la fenêtre MSdos en passant par ctl+alt+supp. L'explorateur n'est pas accessible non plus

Je peux accéder en démarrant sous Linux avec Bit Defender.

Je suis connecté avec un autre ordinateur.

Que puis-faire?

 

Voici le rapport que j’ai pu généré grâce à Starlist :

 

StartupList report, 06/08/2005, 22:06:27

StartupList version: 1.52

Started from : E:\Outils pr combattre smitfraud\StartupList.EXE

Detected: Windows 2000 SP2 (WinNT 5.00.2195)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

 

Running processes:

 

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\taskmgr.exe

E:\Outils pr combattre smitfraud\StartupList.exe

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]

DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINNT\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

TrackPointSrv = tp4serv.exe

AGRSMMSG = AGRSMMSG.exe

Synchronization Manager = mobsync.exe /logon

ATIModeChange = Ati2mdxx.exe

PRPCMonitor = PRPCUI.exe

TPHOTKEY = C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

TP4EX = tp4ex.exe

TPTRAY = C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE

BMMGAG = RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

QCTRAY = C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe

UC_SMB =

StorageGuard = "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r

dla = C:\WINNT\system32\dla\tfswctrl.exe

ConfigSafe = C:\CFGSAFE\NTFSCLUP.EXE

CSScheduleCheck = C:\CFGSAFE\SCHWIZEX.EXE -CHECK

NeroCheck = C:\WINNT\System32\\NeroCheck.exe

InCD = C:\Program Files\Ahead\InCD\InCD.exe

adiras = adiras.exe

AVGCtrl = "C:\Program Files\AVPersonal\AVGNT.EXE" /min

KAVPersonal50 = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

PestPatrol Control Center = C:\Program Files\PestPatrol\PPControl.exe

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Task Scheduler jobs:

 

BMMTask.job

Image planifiée.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[{33564D57-0000-0010-8000-00AA00389B71}]

CODEBASE = http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

 

[shockwave Flash Object]

InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll

WebCheck: C:\WINNT\System32\webcheck.dll

SysTray: stobject.dll

 

--------------------------------------------------

End of report, 4 130 bytes

Report generated in 0,160 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

Merci d'avance pour vos conseils et pour votre aide.

[ipl_001]

Bonsoir HervéLille, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Tu ne parles pas de démarrage en mode sans échec ! As-tu essayé ?

 

Le "Processus inactif du système" est simplement le complément à 100 % de l'utilisation du processeur !

Un Processus inactif du système à 99% signifie que ton processeur n'est pas solicité !

 

Essaie de démarrer en enlevant ta batterie...

[HervéLille]

Bonjour,

 

Mon portable IBM est complètement bloqué. Configuration avec W2000 et démarrage sous administrateur ou pas. Le portable sert également au bureau à une connexion réseau. Le sablier est bloqué. On ne peut cliquer sur aucun icône. Je n’ai accès à rien même pas au menu démarrer. La seule chose accessible est ctrl+alt+supp qui donne le CPU explorer à 99%.Si on tue ce processus, un autre apparaît "proc inactif au démarrage" et on ne peut pas le tuer. Idem en mode sans échec ou avec la dernière config connue. Je ne peux pas formater car j'ai des donnés importantes.

Je peux démarrer la fenêtre MSdos en passant par ctl+alt+supp. L'explorateur n'est pas accessible non plus

Je peux accéder en démarrant sous Linux avec Bit Defender.

Je suis connecté avec un autre ordinateur.

 

Il me semble très important de préciser que le bloc notes ne reprend pas cette phrase manquante généré par smitfraud

après c:\WINNT\system32\LogFiles :

Le chemin d'accès spécifié est introuvable

 

Que puis faire? Voici les rapports Hijack et smitfraud :

 

 

Rapport Hijack en mode utilisateur et sans échec :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:30:52, on 06/08/2005

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Hervé\HijackThis.exe

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [MSConfig] E:\Outils pr combattre smitfraud\2kmsconfig.exe /auto

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\td\LOCALS~1\Temp\delus.exe

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

 

Rapport Smitfraud en mode utilisateur et sans échec :

 

Bonjour,

 

Voici le rapport de smitfraud et HijackThis.

 

SmitFraudFix v1.2

 

Rapport fait à 10:00:19,96 le dim. 07/08/2005

Exécuté à partir de C:\Herv‚\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\td\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

 

Rapport Hijack en mode normal utilisateur (pas administrateur)

 

Logfile of HijackThis v1.99.1

Scan saved at 11:02:09, on 07/08/2005

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe

C:\WINNT\system32\hidserv.exe

C:\Program Files\Network Associates\VirusScan\VsStat.exe

C:\Program Files\Network Associates\VirusScan\Vshwin32.exe

C:\Program Files\Network Associates\VirusScan\Avconsol.exe

C:\WINNT\System32\QCONSVC.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\taskmgr.exe

C:\Hervé\HijackThis.exe

 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe

O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r

O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK

O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE

O4 - HKLM\..\Run: [bMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe

O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE

 

 

Merci d'avance pour vos conseils et pour votre aide.

[ipl_001]

Bonjour HervéLille,

 

S'il te plaît, ne poste pas plusieurs fois mais relance la discussion !

 

j'ai combiné les 2 sujets !

[HervéLille]

Bonjour HervéLille,

 

S'il te plaît, ne poste pas plusieurs fois mais relance la discussion !

 

j'ai combiné les 2 sujets !

548133[/snapback]

 

Excuse moi, j'ai posté mon problème apparemment insoluble sur plusieurs sites et je ne m'étais pas aperçu que je l'avais déjà posté.

 

Désolé,

[Invité Stonangel]

Bonsoir, tu utilises quel antivirus? Apparemment Kasperski et Antivir "tournent" sur ton ordinateur d'où conflit qui pourrait bloquer ton PC.

 

Désinstalle un des deux, nettoie le registre et dis ce qu'il en est.

[HervéLille]

Bonsoir, tu utilises quel antivirus? Apparemment Kasperski et Antivir "tournent" sur ton ordinateur d'où conflit qui pourrait bloquer ton PC.

 

Désinstalle un des deux, nettoie le registre et dis ce qu'il en est.

548300[/snapback]

J'ai désinstallé Kapersky et utiliser CCleaner mais aucun changement.

 

Que faire?

[Invité Stonangel]

Bonjour, un utilitaire pour enlever ce qui reste de Kaspersky:

http://kav-france.com/faq/index.php?faqcategory=2&faqid=98

 

Si échec, désinstalle Antivir et réinstalle Kav...

[HervéLille]

Bonjour, un utilitaire pour enlever ce qui reste de Kaspersky:

http://kav-france.com/faq/index.php?faqcategory=2&faqid=98

 

Si échec, désinstalle Antivir et réinstalle Kav...

548507[/snapback]

 

 

Merci pour ton aide.

 

Pour les internautes qui aurait le même problème que moi, mon problème a été résolu grâce aux champions à l'adresse suivante :

http://www.commentcamarche.net/forum/affic...ic%F4ne-inactif

 

merci à tous,