Démarrer rectangulaire [Vista] -> virus

Bonjour flo24

Difficile a dire sans log à analyser. Taper au petit bonheur la chance est assez risqué
Vu les symptômes j'opterais pour un rogue et passerais Roguekiller Scan puis option 2 Delete

Bonjour zaede

Je pense faire une analyse une fois sur place mais je n'aurais que peu de temps probablement.

Je vais essayer d'expliquer comment utiliser Roguekiller par tel., au moins faire un scan on verra bien et si il trouve quelque chose le 2 delete..

Voici le fonctionnement, il est très simple d'emploi

- Télécharge RogueKiller (par tigzy) sur le bureau

http://www.sur-la-toile.com/RogueKiller/

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Lorsque demandé, tape 2 (delete) et valide

- Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Note:
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Edité par zaede le 17/04/2011 à 15:34

J'ai pu faire passer RogueKiller.
Il n'a rien trouvé dans les processus malicieux.
Il a trouvé quelques anomalies en registre qu'il a éliminé mais cela n'a rien changé au final.
L'ordi continue à fonctionner en lançant le mode sans échec ( -> sans anti virus actif ).

Il va falloir que j'aille sur place.

Re, c'est tout le problème de l'absence de log
Emmène malwarebytes sur clé usb
Poste si possible un scan ZHPDiag aussi

http://www.sosordi.net/Article/137-[...]generer-rapport


Rappel:

Les rapports doivent être postés en lien

"c'est tout le problème de l'absence de log"
Oui.
J'ai pu passer.
J'ai déjà fait un scan en mode rapide de Antimalware qui a trouvé seulement l'infection banale:
c:\Users\user\downloads\casinoclassic.exe (PUP.Casino.Gen)
que j'ai viré bien sûr.
Je vais téléguider un scan complet très bientôt ( j'ai laissé un vieil ordi avec Skype, cela facilite les choses ).
ZHPDiag me pose des gros soucis, il lance l'installation puis freeze ( l'installeur uniquement ). J'ai tenté divers stratagèmes dont renommer le fichier mais rien à faire.
J'ai vérifié au retour que mon fichier ZHPDiag n'a pas été vérolé.

RogueKiller:
...
Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

J'ai fait un nettoyage host


A défaut j'ai lancé Hijackthis qui ne m'a rien trouvé de pertinent.

Rapport:
http://www.cijoint.fr/cjlink.php?fi[...]/cijDH9FWBp.txt
( j'ai occulté une adresse perso )

Je me demande si il y a vraiment un virus vu que mis a part le passage obligé en safe mode et la barre des taches à la XP ( c'est un ordi Vista ) je n'ai pas constaté de fonctionnement anormal flagrant.

Un extrait de l'écran ( j'ai raccourci en largeur ):
http://www.cijoint.fr/cjlink.php?fi[...]/cijGNy83Mu.jpg

Edité par Flo24 le 21/04/2011 à 10:29

Re, on a d'a&utres solutions en cas de non fonctionnement d'un diag



Télécharge OTL sur le Bureau. http://oldtimer.geekstogo.com/OTL.exe

- Fait un double clic sur l'icône pour le lancer. Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

- Quand la fenêtre apparaît, sous Rapport en haut, coche Rapport minimal.

- Sous Registre: standard coche Tous.

- Coche les cases à coté de Recherche Lop et Recherche Purity.

- Clique sur le bouton Analyse. Ne modifie aucun paramètre sans qu'on ait dit de le faire. L'analyse ne va pas durer longtemps.


* Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt.
Ces fichiers sont sauvegardés au même endroit que OTL.
* Copie (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoie-les dans la prochaine réponse.

Cela a fonctionné:

http://www.cijoint.fr/cjlink.php?fi[...]/cijjRdSUVn.txt


http://www.cijoint.fr/cjlink.php?fi[...]/cijRSQDlcQ.txt
J'ai caché par des * les infos perso.

Rien en rouge.

==============


J'ai refait un scan antimalware complet avec MAJ de la base -> rien trouvé du tout.

==============

Un point me semble bizarre:
En mode sans échec habituel, l'écran obtenu est en plus basse résolution qu'en usage normal. Or ici le mode sans échec obtenu est dans la même résolution de l'écran qu'en fonctionnement normal.

Edité par Flo24 le 21/04/2011 à 17:50

Re, ce n'est pas forcément révélateur et il reste toujours la possibilité d'un faux positif

Pas l'air d'y avoir quelque chose d'infectieux

Verifie de ce coté la aussi

Citation :

========== Last 10 Event Log Errors ========== [ Application Events ] Error - 04/08/2010 16:26:29 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 3631531 Error - 04/08/2010 16:26:30 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 04/08/2010 16:26:30 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 3632732 Error - 04/08/2010 16:26:30 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 3632732 Error - 04/08/2010 16:26:31 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 04/08/2010 16:26:31 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 3633746 Error - 04/08/2010 16:26:31 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 3633746 Error - 04/08/2010 16:26:32 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 04/08/2010 16:26:32 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 3634760 Error - 04/08/2010 16:26:32 | Computer Name = PC-de-user | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 3634760 [ Media Center Events ] Error - 18/04/2008 04:05:57 | Computer Name = PC-de-user | Source = MCUpdate | ID = 0 Description = DownloadPackgeTask.SubTasksComplete : échec du téléchargement du package MCESpotlight. [ System Events ] Error - 20/04/2011 04:55:48 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7000 Description = Error - 20/04/2011 04:55:48 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7000 Description = Error - 20/04/2011 04:55:48 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7023 Description = Error - 20/04/2011 04:55:56 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7026 Description = Error - 20/04/2011 04:56:38 | Computer Name = PC-de-user | Source = WMPNetworkSvc | ID = 866290 Description = Error - 21/04/2011 05:55:35 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7000 Description = Error - 21/04/2011 05:55:35 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7000 Description = Error - 21/04/2011 05:55:35 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7023 Description = Error - 21/04/2011 05:55:44 | Computer Name = PC-de-user | Source = Service Control Manager | ID = 7026 Description = Error - 21/04/2011 05:57:58 | Computer Name = PC-de-user | Source = WMPNetworkSvc | ID = 866290 Description = < End of report >

Ces lignes seraient aussi à vérifier via virustotal

Citation :

========== Files - Unicode (All) ========== [2011/03/30 19:52:32 | 000,000,036 | ---- | M] ()(C:\Windows\System32\??) -- C:\Windows\System32\֐ʞ [2011/03/30 19:52:32 | 000,000,036 | ---- | C] ()(C:\Windows\System32\??) -- C:\Windows\System32\֐ʞ

Je n'ai rien pu faire du tout pour le moment, l'ordi démarre et freeze peu après le boot. Pas moyen de lancer quoi que ce soit, mode sans échec ou autre.

La dernière action avant cela a été antimalware ( qui n'a rien trouvé ni modifié ) et il redémarrait encore vers le mode sans échec.

Je pense que je vais récupérer l'ordi et voir ce qui se passe.

Il se pourrait bien que ce ne soit pas un problème de virus finalement mais un problème de bug ou hardware.

Edité par Flo24 le 22/04/2011 à 10:15

Re, un problème de disque dur en phase finale peut etre bien
A voir

Un problème de DD me semble très plausible en effet. J'avais fait un memtest donc je ne pense pas que la RAM ait un soucis, quoique...
Je vais pouvoir m'en occuper directement et tranquillement.
La suite dans quelques jours pour le dénouement.

En tout cas merci.

Bonjour,

dans ton rapport ZHP j'ai trouvé un malware:

"WebMediaPlayer" = WebMediaPlayer => Infection MagicControl (Rogue.WebMedia)


Il faudrait nettoyer avec ad-remover

Edité par momo67 le 22/04/2011 à 20:34

momo67 , il y a un webmediaplayer qui est légitime aussi
Ensuite ad-remover n'est pas le tool à utiliser pour magic control
Merci de ne pas répondre au petit bonheur la chance
ZHP est un excellent outil mais une analyse reste toujours encore a faire et evite bien des déboires

Concernant "WebMediaPlayer" et son fichier wmpnscfg.exe Je ne sais pas pour le moment si je vais pouvoir accéder de nouveau au DD. Je note toutefois l'info et on verra à ce moment là pour désinfecter.

"dans ton rapport ZHP" C'est plutôt HijackThis, qui a trouvé cet élément, vu que ZHP se plante.

Cela fait maintenant plusieurs semaines que l'ordi tourne normalement. J'ai finalement reformatté le DD et réinstallé Windows ( ouf ! l'activation n'a pas posé de problème - j'avais pu voir le DVD original donc en principe pas de soucis ).

Pour info:
J'avais récupéré l'ordi.
Il démarrait mais se plantait après le boot avec un écran noir affichant seulement la flèche de souris ! Blockage complet avec cet écran, mais la flèche est mobile en déplaçant la souris.
J'ai réussi à le ramener dans l'état précédent, après diverses manipulations, démarrant en mode sans échec ( mais en résolution normale d'affichage ).
J'ai tenté la procédure de démarrage sans échec -> de nouveau écran noir + flèche.

J'avais fait une sauvegarde des données au départ, j'ai alors reformatté le DD et tout réinstallé, y compris les emails et paramétrages Firefox/Thunderbird. Cela a permis au passage un bon nettoyage du bordel qu'il y avait.

J'ai laissé tourner l'ordi quelques temps pour faire apparaitre une anomalie, memtest et scan du DD. Rien d'anormal.
Retour de l'ordi à son utilisateur. Tout est normal depuis.

C'est toujours très frustrant de ne pas savoir pourquoi une panne s'est produite bien que l'on se réjouisse de voir l'ordi fonctionner normalement.
Je soupçonne fortement un problème du système de gestion du boot de Vista.
Le fait que le mode sans échec se manifestant est une variante à résolution normale de l'affichage ( au lieu de la résolution minimale du mode sans échec normal ) m'intrigue. Il semble que ce mode sans échec ne soit pas le mode sans échec normal qui plante l'ordi quand on l'active au démarrage ???

Merci à tous.
J'attends un peu pour les commentaires éventuels avant de clôturer.

Re, difficile a dire mais il arrive que le safemod soit touché sur un PC
Rien vu dans les rapports sur ces clés

J'avais eu un soucis du même style sur un autre ordi après une élimination de virus par l'anti virus, mais une manipulation de
msconfig
avait permis de résoudre le problème, le safemode étant resté activé.
Or cette fois, avec F8 c'était le plantage et non pas le safemode et msconfig n'a rien montré d'anormal.

Re, il y a une variante qui enregistre un fichier dans les Temp
Si ce fichier est détruit, il est impossible de revenir en arrière et msconfig ne change rien a l'affaire
Une réparation est alors nécessaire

Rien de neuf - je cloture.

Réponse automatique :

Cette question est résolue