redémarrage du système ...

[invite2c79b73d]

Bonsoir,

Mon PC semble avoir un léger problème, ce soir : un fenêtre s'ouvre régulièrement, m'annonçant que le système va s'arrêter dans 30 secondes. cet arrêt est initié par Sécurité NT/système. La phrase suivante précise : "windows doit arrêter car le système appel procédure distance (RPC) s'est terminé de manière inattendue".

j'ai windows XP, avec l'anti virus AVG free à jour. Je n'ai pas le temps de faire un scan complet du système, l'ordi redémarre avant la fin du scan.

J'ai testé avec hijackthis, mais il n'a rien trouvé de suspect...

j'ai changé l'horloge du PC, en pensant à ce virus (dnt je ne me rappelle plus le nom) qui faisait redémarrer le PC, en espérant que du coup, j'aurais le temps de faire un scan du système, mais ca n'a rien changé.

Est ce que quelqu'un aurait une idée sur ce qu'il peut se passer, et ce que je peut faire pour solutionner ce problème, s'il vous plait ?

Meri d'avance
-----

[Cyrrus]

Bonsoir chag,

Si c'est Sasser, tu peux essayer ceci : Avant le message, faire Demarrer>Executer et taper shutdown -a [valide par Entrée].

Cela aura pour conséquence de stopper le compte à rebours, mais pas d'éliminer le virus. Fais ensuite un scan en mode sans échec avec ton antivirus qui devrait le trouver.

Poste nous si possible le rapport Hijackthis (il ne peut rien detecter, ce n'est pas son rôle).

Il existe aussi le fix spécifique à l'infection (si c'est celle là) => http://www.symantec.com/security_res...050114-1706-99

Bonne soirée
Cyrrus

[invite2c79b73d]

Bonjour,

merci pour la rapidité de ta réponse, Cyrrus

Je n'ai pas pu répondre hier soir, puisque internet a commencé à flancher également..... en gros, je peux maintenant affiché la page google, accéder 1 fois à une page (c'est à ce moment que j'ai pu lire ta réponse), et c'est tout. Après, si je veux ouvrir une nouvelle page internet, "on" (le fameux "on" de ceux qui n'y connaissent pas grand chose en informatique ) me répond que le serveur n'est pas accessible.

J'ai fait un scan en mode sans échec, et avg n'a rien trouvé.

Tant qu'à faire, j'ai aussi testé avec spybot, des fois que, mais rien non plus.

J'essaie de poster ce soir le log de hijackthis, en espérant pouvoir accéder suffisemment longtemps au net

sinon, merci beaucoup pour le fix, d'après les symptômes décrits, il sembble que tu as tapé dans le mille ! je viens de me l'envoyer, je tacherai de le lancer ce soir. (hé oui, je suis au travail, là, vive les PC sur-protégé des entreprises ^^)

Suivant les infos d'un collègues, je vais aussi essayer la commande msconfig, et désactiver tout ce qui se lance au démarrage (sauf avg). Peut être que ca me permettra de trouver cette sale bête

Je vous tiens au courant ce soir de la suite des aventures (comment....? zêtes pas passionnés.....? rhôôoooooo...... )

[invite2c79b73d]

re bonjour,

j'ajoute que je suis désolée, cyrrus, je n'avais pas lu ton message "un malware : premiers gestes..."...... et pourtant, il indique déjà pas mal de choses à faire avant de poser une nouvelle question !

Promis, la prochaine fois, je commencerai par lire ces infos avant de poster !!!

[A voir en vidéo sur Futura]

[invite2c79b73d]

Bonsoir,

C'est à n'y rien comprendre : ce soir, tout semble revenu à la normale.

J'ai essayé le fix spécifique que Cyrrus m'avait donné, il n'a pas trouvé de sasser.

Je joins le log de hijackthis que j'ai obtenu hier en pièce jointe. Mais j'avoue ne rien comprendre à propos de cette crise du PC.....
J'espère que ça ne va pas se reproduire trop souvent ^^

Si quelqu'un a une autre idée de ce qu'il a pu se passer, je serais très intéressée pour le savoir

En tous cas, merci encore pour la rapidité de ton aide, cyrrus, je me souviendrai de la commande shutdown, elle est super

[Cyrrus]

Bonsoir chag,

J'ai préféré supprimer ta pièces jointes car tes noms/prénoms apparaissaient dans le rapport. Je joins à ce message ton rapport avec nom et prénom masqués.

Il montre des éléments infectieux. Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Bonne soirée
Cyrrus

[invite2c79b73d]

bonsoir,

procédure préliminaire effectuée ! les rapports sont en pièces jointes.

ce coup-ci, j'ai pensé à supprimer mes nom et prénom des rapports (enfin, si je n'en ai pas loupé un ...)

Est ce que tout te semble bon, cyrrus ?

[Cyrrus]

Bonjour chag,

Belle infection que tu as...encore.

On va traiter çà :

1.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis, le tout en en pièces jointes.

2.

Télécharge F-Secure Blacklight (800ko) https://europe.f-secure.com/exclude/...ght/blbeta.exe
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log

3. Poste moi :

• Le rapport de SDFix
• Le rapport de Blacklight
• Un nouveau log Hijackthis

Bonne journée
Cyrrus

[invite2c79b73d]

Bonsoir,

Décidément, je tiens encore à te remercier du temps que tu m'accordes, cyrrus !

j'ai mis en PJ les rapports demandés, sauf celui de blacklight : il n'a trouvé aucun éléments invisibles, je n'ai donc aucun rapport à fournir.

Arf, la fenetre d'erreur signalant l'arrêt du système vient de nouveau de s'afficher, je ne dois donc pas encore être débarrassé de cette infection....

Décidément, elle semble persistante ! à moins que ca ne puisse être qu'une sorte d'affichage résiduel, comme les images persistantes ...? (*gros espoir* ^^)

Bonne soirée, et merci encore pour tes conseils !

[Cyrrus]

Bonsoir chag,

Un peu de patience, je dois me renseigner sur les fichiers infectieux que tu as.

Bonne soirée
Cyrrus

[invite2c79b73d]

bonsoir,

merci beaucoup, Cyrrus !

Si ça peut t'apporter des renseignements nouveaux, voici un nouveau message d'avg resident shield :
"threat detected !
while opening file : C:\windows\system32\dodh.exe
virus identified Win32/Virut A"

mais quand de demande à avg shield de me soigner ça, il me répond qu'il ne peut pas car il ne trouve pas le fichier spécifié. Il ne peut pas non plus le mettre en quanrantaine.

je suis allée voir dans le system 32, effectivement, pas trace de dodh. Et blbeta ne le trouve pas non plus.

En espérant que ça t'ai apporté des rensiegnements complémentaires,

Bonne soirée, et merci encore pour ton aide !

[igor51]

Bonsoir,

un petit up pour te dire que l' on ne t'oublie pas mais que l'on attend certaines réponses sur les fichiers détectés par SDFix.

Bonne soirée,

Igor

[invite2c79b73d]

bonjour,

merci pour ce petit message
Mais pas de problème, je suis patiente. En tous cas, merci à tout le groupe pour votre implication !!

bonne journée,
Chag

[igor51]

Bonjour à tous,

je n'apporte pas de bonne nouvelle malheuresement.

Tu as un rootkit : Hacktool.rootkit aka Trojan.Cachecachekit

Il manipule le kernel, et il est donc très compliquer à enlever, voir meme impossible.

Je n'ai donc pas d'autre choix que de te conseiller le formatage de ton disque pour etre sur de s'en débarasser car ta vie privée est en jeux ici.

Si tu as des photos, ou autres documents, je ne pense pas qu'ils soient contaminés.

Pense à lire le dossier de prévention pour ne plus que cela t'arrive >>http://www.futura-sciences.com/compr...ssier627-1.php

Si tu as des questions, n'hésite pas à les poser.

Bonne journée et bonnes fetes,

Igor

[invite2c79b73d]

Bonsoir,

Merci beaucoup pour votre aide, je formate la bestiole sitôt de retour à la maison ....

Juste deux questions : est-il possible de savoir si le hacker a eu accès à des données personnelles, genre mots de passe ?

Et si je copie mes fichiers audio, vidéo, photos, textes, ... sur un autre disque dur, y'a-t-il un risque que je transfère en meme temp le rootkit ?

Merci d'avance pour vos réponses, et bonnes fêtes de fin d'année !!!

chag

[igor51]

Bonsoir,

alors pour la première question, on ne peut pas etre sur, donc je te conseille de changer tes codes de cartes bancaires, tes mots de passe pour accèder à ton compte et toutes données personnelles que tu as pumanipulé avec ton ordinateur.

Pour la deuxième question, il faut que je cherche un peu, mais normalement, si tu ne conserve pas d'application, cela devrait aller.

Bonnes fetes,

Igor

[invite2c79b73d]

bonjour,

Bestiole formatée, conseils de votre dossier de prévention suivis

Merci beaucoup pour votre aide et vos conseils !!

Bonne journée,
chag

[Cyrrus]

Bonsoir chag,

Ma foi, je n'aime jamais vraiment les remerciement quand on demande un formatage...

En te souhaitant une bonne année, loin des bestioles

Cyrrus