Mode sans échec impossible : rootkit ?
cedric
-
cedric -
cedric -
Bonjour,
Depuis quelques temps je suppose que mon portable ACER sous Windows 7 Home Premium est infecté par un keylogger ou un rootkit. J'ai testé pas mal d'antivirus, et autres anti malware mais aucun a été capable de trouver quoi que ce soit.
Autre indice, je suis dans l'impossibilité de taper des guillemets et trema avec mon clavier.
J'ai donc tenté d'analyser mon PC en mode sans échec avec Kaspersky AVP removal tool, mais dès que je lance une session en mode sans échec, mon PC reboot avant meme (saleté de circonflexe manquant) que le boot soit totalement terminé.
Une idée, un conseil ?
Merci pour votre aide.
Depuis quelques temps je suppose que mon portable ACER sous Windows 7 Home Premium est infecté par un keylogger ou un rootkit. J'ai testé pas mal d'antivirus, et autres anti malware mais aucun a été capable de trouver quoi que ce soit.
Autre indice, je suis dans l'impossibilité de taper des guillemets et trema avec mon clavier.
J'ai donc tenté d'analyser mon PC en mode sans échec avec Kaspersky AVP removal tool, mais dès que je lance une session en mode sans échec, mon PC reboot avant meme (saleté de circonflexe manquant) que le boot soit totalement terminé.
Une idée, un conseil ?
Merci pour votre aide.
A voir également:
- Mode sans échec impossible : rootkit ?
- Mode sans echec ps4 - Guide
- Mode sans echec - Guide
- Mode avion - Guide
- Mode sécurisé samsung - Guide
- God mode - Guide
15 réponses
Bonjour,
Exactement, mon PC marche parfaitement en mode normal... mis à part l'histoire des accents...
Bizarre non ?
Exactement, mon PC marche parfaitement en mode normal... mis à part l'histoire des accents...
Bizarre non ?
Ouep.. enfin en général tout s'explique ;-)
Fais ceci pour qu'on y voit plus clair ( enfin surtout moi lol ) :
▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀
◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.
Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "
◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
◈ Rend toi sur cjoint puis clique sur " Parcourir ".
◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Fais ceci pour qu'on y voit plus clair ( enfin surtout moi lol ) :
▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀
◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.
Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "
◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
◈ Rend toi sur cjoint puis clique sur " Parcourir ".
◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pas grand chose dans le rapport.. On va quand même vérifier que la clé SafeBoot est fonctionnelle :
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
# Mode sans echec : OK
Visiblement le mode sans échec est ok. On va faire une analyse complémentaire :
Rends toi sur http://www.gmer.net/ et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
Héberge le rapport sur http://www.cijoint.fr/ , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Visiblement le mode sans échec est ok. On va faire une analyse complémentaire :
Rends toi sur http://www.gmer.net/ et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
Héberge le rapport sur http://www.cijoint.fr/ , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Bonjour,
Voici le résultat :
GMER 1.0.15.15570 - http://www.gmer.net
Rootkit scan 2011-04-13 09:31:18
Windows 6.1.7600
Running: jaimere.exe
---- Files - GMER 1.0.15 ----
File C:\Users\Cedric\AppData\Roaming\Trusteer\Rapport\user\store\user\rapport_var_0.cfg.data 0 bytes
---- EOF - GMER 1.0.15 ----
Voici le résultat :
GMER 1.0.15.15570 - http://www.gmer.net
Rootkit scan 2011-04-13 09:31:18
Windows 6.1.7600
Running: jaimere.exe
---- Files - GMER 1.0.15 ----
File C:\Users\Cedric\AppData\Roaming\Trusteer\Rapport\user\store\user\rapport_var_0.cfg.data 0 bytes
---- EOF - GMER 1.0.15 ----
Hum.. rien ici non plus. C'est vraiment étrange ton problème... Essaie ceci :
▶▷▶▷▶▷▶▷▶▷ OTL - Analyse ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge OTL ( d'Old Timer ) sur ton bureau.
◈ Lance le, coche la case "Tous les utilisateurs"
◈ Sous la partie "Personnalisation", copie/colle ce texte :
netsvcs
drivers32
msconfig
safebootminimal
safebootnetwork
activex
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
HKLM\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
HKCU\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
◈ Puis clique sur le bouton [Analyse]
◈ Patiente jusqu'à l'ouverture des deux rapports OTL.txt et Extras.txt
◈ Rends toi sur cjoint et clique sur [Parcourir]
◈ Sélectionne le fichier OTL.txt et clique sur [Ouvrir]
◈ Enfin, clique sur [Créer le lien cjoint] et copie/colle le lien créé dans ta prochaine réponse.
Note : Fais de même avec le rapport Extras.txt
▶▷▶▷▶▷▶▷▶▷ OTL - Analyse ◁◀◁◀◁◀◁◀◁◀
◈ Télécharge OTL ( d'Old Timer ) sur ton bureau.
◈ Lance le, coche la case "Tous les utilisateurs"
◈ Sous la partie "Personnalisation", copie/colle ce texte :
netsvcs
drivers32
msconfig
safebootminimal
safebootnetwork
activex
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
HKLM\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
HKCU\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
◈ Puis clique sur le bouton [Analyse]
◈ Patiente jusqu'à l'ouverture des deux rapports OTL.txt et Extras.txt
◈ Rends toi sur cjoint et clique sur [Parcourir]
◈ Sélectionne le fichier OTL.txt et clique sur [Ouvrir]
◈ Enfin, clique sur [Créer le lien cjoint] et copie/colle le lien créé dans ta prochaine réponse.
Note : Fais de même avec le rapport Extras.txt
Effectivement ca fait quelques semaines que je cherche une solution...
Pour OTL petit bug, à la fin du scan j'ai une erreur, le programme ne peut pas créer le script command.bat, ca doit etre une erreur de programmation parce que dans le chemin d'accès j'ai un double slash "c://..."
Du coup je n'ai pas accès au rapport...
Pour OTL petit bug, à la fin du scan j'ai une erreur, le programme ne peut pas créer le script command.bat, ca doit etre une erreur de programmation parce que dans le chemin d'accès j'ai un double slash "c://..."
Du coup je n'ai pas accès au rapport...
Tu utilises Hyper-V ?
Relance OTL, sous "personnalisation" copie/colle ceci :
SafeBootMin MCODS - Reg Error: Value error.
SafeBootNet MCODS - Reg Error: Value error.
SafeBootNet: McMPFSvc - Service
clique sur [correction] puis poste moi le rapport.
Essaie ensuite de redémarrer le PC en mode sans échec
Relance OTL, sous "personnalisation" copie/colle ceci :
SafeBootMin MCODS - Reg Error: Value error.
SafeBootNet MCODS - Reg Error: Value error.
SafeBootNet: McMPFSvc - Service
clique sur [correction] puis poste moi le rapport.
Essaie ensuite de redémarrer le PC en mode sans échec
Non je n'utilise pas Hyper-V ou alors à l'insu de mon plein gré ;)
Voici le rapport obtenu :
Error: Unable to interpret <SafeBootMin MCODS - Reg Error: Value error. > in the current context!
Error: Unable to interpret <SafeBootNet MCODS - Reg Error: Value error. > in the current context!
Error: Unable to interpret <SafeBootNet: McMPFSvc - Service > in the current context!
OTL by OldTimer - Version 3.2.22.3 log created on 04132011_161509
Voici le rapport obtenu :
Error: Unable to interpret <SafeBootMin MCODS - Reg Error: Value error. > in the current context!
Error: Unable to interpret <SafeBootNet MCODS - Reg Error: Value error. > in the current context!
Error: Unable to interpret <SafeBootNet: McMPFSvc - Service > in the current context!
OTL by OldTimer - Version 3.2.22.3 log created on 04132011_161509
Alors la suite...
Cette fois OTL a bien fait les modifs et a redémarré l'OS.
Windows a procéder à une correction des fichiers de démarrage.
AU final pas de changement, toujours pas d'accents, le mode sans échec plante avant meme que je n'ai entré le MDP de l'utilisateur.
En démarrage normal j'ai juste Kaspersky AVP Removal Tool qui me demande de procéder à des modifs alors que j'ai rien demandé...
Cette fois OTL a bien fait les modifs et a redémarré l'OS.
Windows a procéder à une correction des fichiers de démarrage.
AU final pas de changement, toujours pas d'accents, le mode sans échec plante avant meme que je n'ai entré le MDP de l'utilisateur.
En démarrage normal j'ai juste Kaspersky AVP Removal Tool qui me demande de procéder à des modifs alors que j'ai rien demandé...
