Bureau et Conficker.B

Résolu
margot95 Messages postés 36 Statut Membre -  
margot95 Messages postés 36 Statut Membre -
Bonjour,

Suite à une infection par Conficker.B (que j'ai apparemment supprimé), mon bureau et la barre des tâches ne s'affichent plus. Je peux uniquement ouvrir le gestionnaire des tâches (qui affiche pourtant explorer.exe). De plus, mon PC est très long pour s'allumer et s'éteindre.

J'ai tenté la vérification du disque mais ça n'a rien fait.

Quelqun aurait une idée?

Merci d'avance pour votre aide.

Margot

31 réponses

  • 1
  • 2
  1. margot95 Messages postés 36 Statut Membre 4
     
    Rapport Usbfix:

    | UsbFix V 7.087 | [Recherche]

    Utilisateur: Margot (Administrateur) # PC-DE-MARGOT
    Mis à jour le 05/04/2012 par El Desaparecido
    Lancé à 18:49:41 | 12/04/2012

    Site Web: https://www.sosvirus.net/
    Fichier suspect ? : http://eldesaparecido.com/upload.html
    Contact: contact@eldesaparecido.com

    PC: Acer (Aspire 5715Z ) (X86-based PC) # Desktop Computer
    CPU: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz (1862)
    RAM -> [ Total : 3061 | Free : 2201 ]
    BIOS: Default System BIOS
    BOOT: Fail-safe with network boot

    OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    WB: Windows Internet Explorer 9.0.8112.16421

    SC: Security Center Service [ Enabled ]
    WU: Windows Update Service [ Enabled ]
    AV: Bitdefender Antivirus [ Enabled | Updated ]
    FW: Windows FireWall Service [ Enabled ]

    C:\ (%systemdrive%) -> Disque fixe # 111 Go (37 Go libre(s) - 33%) [ACER] # NTFS
    D:\ -> Disque fixe # 110 Go (110 Go libre(s) - 100%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 596 Go (359 Go libre(s) - 60%) [TOSHIBA EXT] # FAT32
    G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 83%) [CLÉ USB] # FAT32

    ################## | Processus Actif |

    C:\Windows\system32\csrss.exe (512)
    C:\Windows\system32\csrss.exe (548)
    C:\Windows\system32\wininit.exe (556)
    C:\Windows\system32\winlogon.exe (592)
    C:\Windows\system32\services.exe (632)
    C:\Windows\system32\lsass.exe (644)
    C:\Windows\system32\lsm.exe (652)
    C:\Windows\system32\svchost.exe (792)
    C:\Windows\system32\svchost.exe (848)
    C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (884)
    C:\Windows\System32\svchost.exe (1012)
    C:\Windows\system32\svchost.exe (1064)
    C:\Windows\System32\svchost.exe (1108)
    C:\Windows\system32\svchost.exe (1152)
    C:\Windows\system32\svchost.exe (1172)
    C:\Windows\system32\svchost.exe (1400)
    C:\Windows\Explorer.EXE (1588)
    C:\Windows\system32\svchost.exe (1936)
    C:\Program Files\Mozilla Firefox\firefox.exe (1996)
    C:\Program Files\Mozilla Firefox\plugin-container.exe (364)
    C:\Program Files\Microsoft Security Client\msseces.exe (468)
    C:\Program Files\Mozilla Firefox\plugin-container.exe (800)
    C:\UsbFix\Go.exe (1348)
    C:\Windows\system32\wbem\wmiprvse.exe (1372)

    ################## | Éléments infectieux |

    Présent! C:\Users\Margot\AppData\Local\Temp\Install_Nokia_Ovi_Suite.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{2650497b-771a-11df-8cce-baee778e9f66}
    Shell\AutoRun\Command = WDSetup.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{35511241-d741-11de-9212-a5703d574b78}
    Shell\AutoRun\Command = VIRTUAL_OPTICIAN.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{43008dbf-9cb2-11dd-9894-001eec4a2996}
    Shell\AutoRun\Command = F:\start.exe
    Shell\iledefrance\Command = F:\start.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{85f579bc-fbff-11dd-b3a1-cf659d6f94a0}
    Shell\AutoRun\Command = F:\LaunchU3.exe -a

    HKCU\.\.\.\.\Explorer\MountPoints2\{99349ec9-c6e0-11df-843e-fd7b3453eaba}
    Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

    HKCU\.\.\.\.\Explorer\MountPoints2\{da6483bf-c2e8-11dd-9462-001eec4a2996}
    Shell\AutoRun\Command = F:\LaunchU3.exe -a

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Conficker n'est plus vraiment en circulation, quel logiciel t'a dit que tu avais cet infection ? Tu as fait quoi pour le supprimer ?

    A +
    0
  3. margot95 Messages postés 36 Statut Membre 4
     
    Bonsoir,

    C'est Microsoft Security Essential qui a détecté l'infection et supprimé la menace.

    J'ai ensuite fait une analyse Malwarebytes qui n'a rien detecté mais toujours impossible d'avoir mon bureau.

    ++
    0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    margot95,

    ● Télécharge RogueKiller (par Tigzy) sur le bureau
    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. margot95 Messages postés 36 Statut Membre 4
     
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Margot [Droits d'admin]
    Mode: Recherche -- Date: 12/04/2012 19:23:41

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxyweb.utc.fr:3128) -> FOUND
    [PROXY FF] kj4aowea.default\ proxyweb.utc.fr:3128 -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
    --- User ---
    [MBR] d0f5522359b390f6f0615a5f09bda20e
    [BSP] f5e5e6e7d7ef41e758fddec6149315f4 : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 11993 Mo
    1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 24563712 | Size: 113348 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 256700416 | Size: 113132 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Tu utilises un proxy pour te connecter à internet ?

    A +
    0
  8. margot95 Messages postés 36 Statut Membre 4
     
    Oui je suis en résidence universitaire, je n'ai pas le choix. ça change quoi?
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Il me semblait légitime, mais c'était pour en être sûr et ne pas le supprimer.

    1. Relance RogueKiller.exe
    ● Clique sur Host RAZ
    ● Clique sur Rapport pour l'ouvrir

    2. Relance RogueKiller.exe
    ● Clique sur Racc. RAZ
    ● Clique sur Rapport pour l'ouvrir

    3. Copie/colle les 2 rapports dans ton prochain message.

    Dis moi si tu as retrouvé ton bureau

    A +
    0
  10. margot95 Messages postés 36 Statut Membre 4
     
    1er rapport:
    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Margot [Droits d'admin]
    Mode: HOSTS RAZ -- Date: 12/04/2012 20:14:35

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ Nouveau fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    2ème rapport:
    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Margot [Droits d'admin]
    Mode: Raccourcis RAZ -- Date: 12/04/2012 20:16:12

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Attributs de fichiers restaures: ¤¤¤
    Bureau: Success 1 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 11 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 523 / Fail 0
    Mes documents: Success 6 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 692 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 108 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped

    ¤¤¤ Infection : ¤¤¤

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Merci pour tes réponses si rapides
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tu as retrouvé le bureau maintenant ?

    A +
    0
  12. margot95 Messages postés 36 Statut Membre 4
     
    Non toujours pas de bureau ni de barre des tâches...

    ++
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tu as redémarrer le système entre temps ?

    A +
    0
  14. margot95 Messages postés 36 Statut Membre 4
     
    Oui j'ai redémarré le système: aucun changement

    ++
    0
  15. margot95 Messages postés 36 Statut Membre 4
     
    J'ai fait la restauration.

    Pour l'instant ça marche, j'ai récupéré mon bureau même si l'apparence des fenêtres n'est pas normale (la même que celle en mode sans échec). Je verrais si demain en redémarrant ça marche toujours.

    Merci de ton aide

    ++
    0
  16. margot95 Messages postés 36 Statut Membre 4
     
    Bonjour,

    J'ai fait ce que tu as demandé et voici le résultat pas très encourageant:
    "La protection des ressources Windows a trouvé des fichiers endommagés, mais n'a pas réussi à tous les réparer".

    Je sens que je vais devoir faire une restauration de système...
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Je suppose que tu es passé par la console WinRe.
    Il faut essayer la même manipulation mais en passant par le DVD Vista.

    A +
    0
  18. margot95 Messages postés 36 Statut Membre 4
     
    Je n'y arrive pas. Quand je démarre avec le DVD je n'ai que l'option de restaurer le système à la configuration d'origine.

    Je n'ai pas de DVD Vista mais juste un DVD de récupération que j'ai gravé quand j'ai eu mon PC.
    0
  19. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Nous allons utiliser cet outil de diagnostic pour voir si le problème provient d'une infection.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    consrv.dll
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    A +
    0
  • 1
  • 2