Bureau et Conficker.B [Résolu/Fermé]

Signaler
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
-
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
-
Bonjour,

Suite à une infection par Conficker.B (que j'ai apparemment supprimé), mon bureau et la barre des tâches ne s'affichent plus. Je peux uniquement ouvrir le gestionnaire des tâches (qui affiche pourtant explorer.exe). De plus, mon PC est très long pour s'allumer et s'éteindre.

J'ai tenté la vérification du disque mais ça n'a rien fait.


Quelqun aurait une idée?

Merci d'avance pour votre aide.

Margot

31 réponses

Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Rapport Usbfix:

| UsbFix V 7.087 | [Recherche]

Utilisateur: Margot (Administrateur) # PC-DE-MARGOT
Mis à jour le 05/04/2012 par El Desaparecido
Lancé à 18:49:41 | 12/04/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer (Aspire 5715Z ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz (1862)
RAM -> [ Total : 3061 | Free : 2201 ]
BIOS: Default System BIOS
BOOT: Fail-safe with network boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Bitdefender Antivirus [ Enabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 111 Go (37 Go libre(s) - 33%) [ACER] # NTFS
D:\ -> Disque fixe # 110 Go (110 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 596 Go (359 Go libre(s) - 60%) [TOSHIBA EXT] # FAT32
G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 83%) [CLÉ USB] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (512)
C:\Windows\system32\csrss.exe (548)
C:\Windows\system32\wininit.exe (556)
C:\Windows\system32\winlogon.exe (592)
C:\Windows\system32\services.exe (632)
C:\Windows\system32\lsass.exe (644)
C:\Windows\system32\lsm.exe (652)
C:\Windows\system32\svchost.exe (792)
C:\Windows\system32\svchost.exe (848)
C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (884)
C:\Windows\System32\svchost.exe (1012)
C:\Windows\system32\svchost.exe (1064)
C:\Windows\System32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1152)
C:\Windows\system32\svchost.exe (1172)
C:\Windows\system32\svchost.exe (1400)
C:\Windows\Explorer.EXE (1588)
C:\Windows\system32\svchost.exe (1936)
C:\Program Files\Mozilla Firefox\firefox.exe (1996)
C:\Program Files\Mozilla Firefox\plugin-container.exe (364)
C:\Program Files\Microsoft Security Client\msseces.exe (468)
C:\Program Files\Mozilla Firefox\plugin-container.exe (800)
C:\UsbFix\Go.exe (1348)
C:\Windows\system32\wbem\wmiprvse.exe (1372)

################## | Éléments infectieux |

Présent! C:\Users\Margot\AppData\Local\Temp\Install_Nokia_Ovi_Suite.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{2650497b-771a-11df-8cce-baee778e9f66}
Shell\AutoRun\Command = WDSetup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{35511241-d741-11de-9212-a5703d574b78}
Shell\AutoRun\Command = VIRTUAL_OPTICIAN.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{43008dbf-9cb2-11dd-9894-001eec4a2996}
Shell\AutoRun\Command = F:\start.exe
Shell\iledefrance\Command = F:\start.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{85f579bc-fbff-11dd-b3a1-cf659d6f94a0}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{99349ec9-c6e0-11df-843e-fd7b3453eaba}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{da6483bf-c2e8-11dd-9462-001eec4a2996}
Shell\AutoRun\Command = F:\LaunchU3.exe -a



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
Bonsoir,

Conficker n'est plus vraiment en circulation, quel logiciel t'a dit que tu avais cet infection ? Tu as fait quoi pour le supprimer ?

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Bonsoir,

C'est Microsoft Security Essential qui a détecté l'infection et supprimé la menace.

J'ai ensuite fait une analyse Malwarebytes qui n'a rien detecté mais toujours impossible d'avoir mon bureau.

++
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
margot95,

● Télécharge RogueKiller (par Tigzy) sur le bureau
Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Margot [Droits d'admin]
Mode: Recherche -- Date: 12/04/2012 19:23:41

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxyweb.utc.fr:3128) -> FOUND
[PROXY FF] kj4aowea.default\ proxyweb.utc.fr:3128 -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD2500BEVS-22UST0 +++++
--- User ---
[MBR] d0f5522359b390f6f0615a5f09bda20e
[BSP] f5e5e6e7d7ef41e758fddec6149315f4 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 11993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 24563712 | Size: 113348 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 256700416 | Size: 113132 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
re,

Tu utilises un proxy pour te connecter à internet ?

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Oui je suis en résidence universitaire, je n'ai pas le choix. ça change quoi?
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
Il me semblait légitime, mais c'était pour en être sûr et ne pas le supprimer.

1. Relance RogueKiller.exe
● Clique sur Host RAZ
● Clique sur Rapport pour l'ouvrir

2. Relance RogueKiller.exe
● Clique sur Racc. RAZ
● Clique sur Rapport pour l'ouvrir

3. Copie/colle les 2 rapports dans ton prochain message.

Dis moi si tu as retrouvé ton bureau

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
1er rapport:
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Margot [Droits d'admin]
Mode: HOSTS RAZ -- Date: 12/04/2012 20:14:35

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]


¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

2ème rapport:
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Margot [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 12/04/2012 20:16:12

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 11 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 523 / Fail 0
Mes documents: Success 6 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 692 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 108 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt


Merci pour tes réponses si rapides
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
Tu as retrouvé le bureau maintenant ?

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Non toujours pas de bureau ni de barre des tâches...

++
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
Tu as redémarrer le système entre temps ?

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Oui j'ai redémarré le système: aucun changement

++
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
J'ai l'impression que ton antivirus a fait du zèle et a endommagé le système.

Essaye une restauration système avant tes problèmes : http://www.chantal11.com/2010/05/restauration-systeme-a-une-date-anterieure-windows-7-8-10/


A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
J'ai fait la restauration.

Pour l'instant ça marche, j'ai récupéré mon bureau même si l'apparence des fenêtres n'est pas normale (la même que celle en mode sans échec). Je verrais si demain en redémarrant ça marche toujours.

Merci de ton aide

++
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
C'était juste pour que tu récupères ton Bureau, il faudrait analyser ton système pour voir si ton soucis est viral ou pas.

Commence par faire ceci pour voir si tu arrives à réparer et retrouver une apparence normale : http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Bonjour,

J'ai fait ce que tu as demandé et voici le résultat pas très encourageant:
"La protection des ressources Windows a trouvé des fichiers endommagés, mais n'a pas réussi à tous les réparer".

Je sens que je vais devoir faire une restauration de système...
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
Bonjour,

Je suppose que tu es passé par la console WinRe.
Il faut essayer la même manipulation mais en passant par le DVD Vista.

A +
Messages postés
36
Date d'inscription
mercredi 9 mai 2007
Statut
Membre
Dernière intervention
14 avril 2012
4
Je n'y arrive pas. Quand je démarre avec le DVD je n'ai que l'option de restaurer le système à la configuration d'origine.

Je n'ai pas de DVD Vista mais juste un DVD de récupération que j'ai gravé quand j'ai eu mon PC.
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 992
ok,

Nous allons utiliser cet outil de diagnostic pour voir si le problème provient d'une infection.

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
consrv.dll
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

A +