Infection XP Security/.exe non executables/

grenouillem -  
 grenouillem -
Bonjour,

Je vous contacte car j'ai de gros soucis avec mon PC.
Suite à l'apparition d'une pop up, ma femme a clické sur un lien ou quelque chose du genre qui a provoqué l'appartition d'un message d'erreur avec pour titre (de mémoire) "XP internet security".

Depuis voila les symptomes :
- impossible d'executer les .exe (fenetre "choisissez le programme à utiliser pour ouvrir ce type de fichier", la meme que pour "ouvrir avec...")

- impossible de déplacer des dossiers (message d'erreur "le quota disponible est insuffisant pour traiter cette demande au bout de 20 secondes")

- impossible de lancer regedit/msconfig/taskmgr à partir de la commande executer ou à la racine de leur dossier

- impossible de lancer les rubriques du panneau de configuration ("C:/Windows/system3/rundll32.exe : application introuvable"

- dans le poste de travail, les noms des différents lecteurs n'apparaissent plus

- 3 lecteurs CDROM sont apparus de nulle part dans le poste de travail

Et la situation s'empire : je ne peux plus acceder à Mes Documents ("vos parametres de
sécurité actuels interdisent cette action")

J'ai tout de meme pu relever la modification sur mon disque dur le jour meme des fichiers suivants (fonction rechercher de Windows, c'est mieux que rien) :

- oashdihasidhasuidhiasdhiashdiuasdhasd (c/Windows/system32/config/systemprofile)
- ODiag.evt (c/Windows/system32/config/)
- OSession.evt (c/Windows/system32/config/)
- wuaucldt.exe (c/Windows/system32/config/ et c/Windows/system32/config/systemprofile) que je sais etre verrolé
- un répertoire c/windows/pchealth alors que ce logiciel ne me dit rien, avec des fichiers du genre "collectedData_3927"....

et bien d'autres encore, bien evidemment, majoritairement dans le dossier system32 (étrange...)

Je tourne actuellement sur XP, je disposais de la derniere version de la solution antivirus Microsoft Essentials (que de fait je n'utiliserai plus !).

Je suis donc completement aveugle en ce qui concerne la situation de mon pc : pas de suivi des process, pas de hijackthis possible...
quelqu'un aurait il des conseils à me donner histoire de reprendre la main ?
Je n'arrive meme plus a activer le mode sans echec !

Merci pour toute aide !

8 réponses

  1. Utilisateur anonyme
     
    bonjour
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Bonjour à vous deux,

      Pas simple ce problème.

      Nathandre,
      CF ne se lancera sans doute pas. Pb avec les .exe

      Pour les associations de fichiers ( .exe ), téléchargement du fix suivant xp_exe.reg et enregistrez-le sur ton bureau.

      Puis fusionner le fichier.
      Double-cliquez sur le fichier xp_exe.reg pour fusionner le fichier avec la base de registre.
      Acceptez aux différentes invites.

      Bonne continuation

      @+
      0
    2. grenouillem
       
      J'ai essayé.

      Effectivement, j'ai du passer par le xp_exe.reg, la fusion s'est bien faite
      Au lancement de ComboFix, j'ai droit à "Some files could not be created. Please close all applications, reboot Windows and restart this installation"

      J'ai réussi vite fait à acceder à regedit ainsi qu'a taskmgr.

      Si ca peut aider, j'ai droit aux process :
      MpCmdRun.exe que je ne connaissais pas
      à dumprep.exe (service reseau)
      ainsi que dwwin et wuaucldt.exe


      La ou je ne comprends pas, c'est que cette fois j'ai eu acces à mon ancien antivirus, microsogt essentials.
      J'ai lancé aussitot une analyse, qui a planté avec :
      - iexplorer.exe : composant (winspool.drv) introuvable
      - 3788R22FWJFW\hidec.exe : le quota disponible est insuffisant pour traiter cette commande puis un 2eme message ; le fichier de pagination est insuffisant pour terminer cette opération
      0
    3. grenouillem
       
      Combo fix est arrivé à se lancer, il me crée un point de restauration
      0
    4. grenouillem
       
      Combofix n'a pas reussi a me creer la console de restauration.

      Et lors de l'analyse, j'ai eu droit a un zoli ecran bleu suivi d'un reboot.

      J'ai tout de meme acces a present a taskmgr,

      2 nouveaux process sont apparus au demarrage de windows :
      Nircmd.cfxxe
      cmd.fxxe
      dumprep.exe
      0
  2. Utilisateur anonyme
     
    d'accord, jattendrai le résultat
    0
  3. Utilisateur anonyme
     
    Nom du fichier : dumprep.exe
    Processus faisant partie de Windows
    > Nom du processus : Dump Reporting Tool
    Programme produisant un fichier texte d'explications lors d'une erreur grave.

    Nom du fichier : dumprep.exe
    Processus faisant partie de Windows
    > Nom du processus : UserFaultCheck

    Nom du fichier : cmd.exe
    Processus faisant partie de Windows
    > Nom du processus : Windows Command Prompt
    La fenêtre d'invite de commande.

    le premier, pas de résultat
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. grenouillem
     
    Combo fix me lance lors des differentes etapes des "ressources insuffisantes" lors de son scan....

    ...alors que j'ai encore 42 Go de libres et 3 Go de Ram !

    je comprends de moins en moins ce qui arrive à mon pc : j'ai réussi a lancer processexplorer (rien d'anormal de ce cote la) et voici mon log hijack :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:56:26, on 04/04/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskmgr.exe
    C:\Program Files\Microsoft Security Essentials\msseces.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
    C:\Documents and Settings\Vincent\Bureau\procddexp.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [syncman] c:\documents and settings\vincent\wuaucldt.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: monnwb32.exe
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    0
  6. Utilisateur anonyme
     
    je vois des lignes infectieuses dans le rapport, ton PC est bien infecté
    essaye ceci
    Télécharge Dr Web CureIt sur ton Bureau :

    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    - Double clique drweb-cureit.exe et ensuite clique sur Analyse;

    - Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
    - Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
    - De retour à la fenêtre principale : clique pour activer Analyse complète
    - Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    - Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
    - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
    - Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    - Ferme Dr.Web Cureit
    - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
    0
    1. grenouillem
       
      Impossible de connecter une clé USB depuis 20 minutes...
      Les ports marchent (ma souris fonctionne dessus), mais pas d'appartition de mes clés au poste de travail, ni sur le poste de travail version combo fix dans c:/combofix

      Je tourne a present avec 14 processus, avec un look de windows 95, mais ca tourne.
      Toujours pas de noms sous les lecteurs dans le poste de travail.

      Est il possible qu'un trop grand nombre de périphériques empeche l'apparition de ma clé ?
      J'ai 2 DD, 1 lecteur CD, 4 slots cartes mémoires, plus 3 lecteurs CD fictifs apparus je ne sais comment...
      0
    2. grenouillem
       
      Analyse en cours avec Dr Web...
      Essaie de trouver un cd ou un dvd vierge un dimanche aprem, tu verras, c'est une franche partie de rigolade :p
      0
  7. Utilisateur anonyme
     
    as tu essayé de faire combofix ou dr web ?
    Pour répondre à ta question, je ne sais pas
    ton PC est infecté par des vers informatiques et autre cochonnerie
    0
  8. grenouillem
     
    Dr web est en cours d'analyse.
    Je poste le log des que ce sera terminé
    0