Virus please wait while the connection ..

Fermé
helios - Modifié par helios le 21/05/2012 à 20:15
 helios - 21 mai 2012 à 21:33
Bonsoir

Le Pc d'une collègue est infecté par le virus "please wait while the connection is being established" (ecran blanc au démarrage).
Situation idem en mode sans echec.

1) Via un Live CD, j'ai executé Hijackthis qui m'a sorti ce rapport :

<gras>Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:45, on 2012-05-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
X:\i386\system32\csrss.exe
X:\i386\system32\services.exe
X:\i386\system32\lsass.exe
X:\i386\system32\cmd.exe
X:\i386\system32\svchost.exe
X:\i386\System32\svchost.exe
X:\i386\system32\svchost.exe
X:\i386\explorer.exe
X:\i386\system32\msiexec.exe
X:\i386\system32\keybtray.exe
X:\i386\system32\spoolsv.exe
B:\Temp\AutoMountDrives.exe
B:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O23 - Service: DCOM Services (DcomLaunch) - Unknown owner - svchost.exe (file missing)
O23 - Service: ImDisk Virtual Disk Driver Helper (ImDskSvc) - Olof Lagerkvist - X:\i386\system32\imdsksvc.exe


Le site Hijackthis m'a conseillé de fixer les O13 sauf le Gopher ainsi que les O15.
Le fix a été fait. Reboot du PC. Solution idem.
En relancant le Hijakthis les O13 et O15 réapparaissent.

Il n'est pas possible de supprimer ces lignes via un Live CD ?

2) Via google, je suis tombé sur des posts qui conseillaient d'UTILISER Readytogo-OTPLE.
J'ai gravé un DVD et je suis tombé suR un écran bleu avant la fin du processus (durant le scan de la config).

[J'ai testé sur un autre pc portable (windows 7) ce DVD qui ne m'a pas affiché d'écran bleu. Néanmoins, le message d'erreur suivant est apparu à plusieurs reprises. Du coup sur le bureau, je n'ai aucun icone a part le poste de travail.
16 bits MS-DOS Subsystem
x:\i386\System32\cmd.exe
x:\i386\System3\config.nt. The system file is not suitable for running MS-DOS and Microsoft Windows applications. Choose 'Close' to terminate the application.]

Que puis je faire ?

Merci
A voir également:

2 réponses

Utilisateur anonyme
21 mai 2012 à 20:21
Bonsoir

Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.



Étape 1: OTLPE (de OldTimer), préparation
Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Notez qu'il est possible d'installer OTLPE sur une clef USB via PetoUSB, voir cette page : https://forum.malekal.com/viewtopic.php?t=24701&start=
ou avec WintoFlash : https://forum.malekal.com/viewtopic.php?t=35312&start=

Graver un CD à partir de ce fichier.
Inutile d'utiliser un logiciel de gravure. L'exécutable intègre un utilitaire pour la gravure.

Insère un CD vierge dans le PC
Lance l'exécutable téléchargé et suis les invites.


Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes en gras ci-dessous.

netsvcs
Drivers32
msconfig
activex
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
winlogon.exe
explorer.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
consrv.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.




Étape 2: OTLPE (de OldTimer), analyse

Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en français)

Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
Faire un double clic sur l'icône OTLPE.
Si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

Puis cliquer sur le bouton Run Scan:


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTLPE.

Le fichier rapport est sauvegardé dans C:\OTL.txt

Héberges ton rapport sur le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.
0
Merci.

Par contre, comme je l'ai dit plus haut, OTLPE provoque un écran bleu sur le pc infecté.
Je vais tenter la solution par clé USB mais je ne suis pas optimiste.

OTLPE est la seule solution pour ce type de virus ?
Vous ne savez pas pour quelle raison Hijackthis n'opère pas via le Live CD ?

Merci
0