Problème mode sans échec

[invitee1fff620]

Bonsoir,

Je ne sais pas si je suis sur le bon forum pour exposer mon souci car j'ignore s'il peut venir d'un problème d'infection.
Si ce n'est pas le cas, merci de me remettre dans la bonne direction

Voici mon problème :

Je démarre en mode sans échec sans problème.
Quand je redémarre, le bios puis windows se chargent, la résolution d'écran est normale mais la fenêtre des sessions affiche : administrateur et ma session.

Si j'entre dans ma session, le bureau est normal (fond d'écran, icônes) sauf la barre d'outils qui est version Windows 95.
Toutes les icônes de la barre des tâches sont présentes sauf le pare-feu, et l'anti-virus est désactivé. Je n'ai pas de connexion.
J'ai lancé un anti-rootkit pour voir si j'étais bien en MSE : un message me confirme que oui.

J'ai redémarré, F8, Démarrer Windows normalement : même résultat.
J'ai dû redémarrer en Dernière bonne configuration connue pour retrouver le mode normal.

Je n'ose plus démarrer en MSE de peur de rester bloquée.
Cela m'embête pour les défrag, scans...

J'ai pas mal cherché sur les forums pour trouver un sujet sur un cas similaire, sans succès.

Je vous remercie par avance de me donner votre avis sur ce problème.

Configuration:
P IV 2.8 Ghz
Windows XP Home Ed.
RAM 1 024 Mo
-----

[invitee1fff620]

Je ne trouvais pas le bouton pour gérer les pièces jointes.

Je viens de découvrir qu'il n'apparaît pas sous Firefox.

Voici les rapports.

[igor51]

Bonsoir,

en mode sans échec, le minimum vital est lancé à la survis du système, donc tu n'as pas ton réseau et ton antivirus/firewall, néanmoins, il existe des antivirus qui fonctionnent sous MSE sans aucun problème.

Pour le rootkit, peux-tu poster le rapport du logiciel que tu as utilisé ?

Bonne soirée

[invitee1fff620]

Bonsoir Igor51,

Désolée de répondre avec autant de retard mais cela fait plusieurs jours que, si je peux accéder à la page d'accueil de FS, impossible d'accèder au forum (ni à aucun autre). Ca a enfin marché ce soir.

A vrai dire, lorsque qu'en ayant redémarré l'ordi après un MSE, j'ai vu que l'écran des sessions présentait administrateur/ma session, je me suis dit que je n'étais pas sortie du MSE (malgré le chargement de Windows et une résolution d'écran normale). Ayant lancé ma session, je me suis retrouvée à la fois avec un bureau "normal" mais sans connexion et j'ai donc voulu vérifier si j'étais bien encore en MSE. Sachant que les anti-rootkits ne se lancent pas en MSE, j'ai démarré Sophos anti-rootkit et j'ai bien eu le message disant que ce programme ne pouvait pas fonctionner en MSE. Ca m'a confirmé que, malgré une apparence quasi-normale du bureau, je n'étais pas en mode normal. D'où mon inquiétude. Je n'ai pu retrouver ma configuration qu'avec la commande Démarrer en dernière bonne config.

Pour l'anti-virus, c'est justement en sortant d'un scan AV complet (Avast) en MSE que j'ai eu ce problème. Pour le scan : RAS.

Je ne sais pas si tu veux tout de même un rapport d'anti-rootkit.
Sophos anti-rootkit ne fournit pas de log.
Par contre, Rootkit Revealer signale plusieurs objets dont 4 fichiers aux dates de création.... étonnantes

HKU\S-1-5-21-606747145-1284227242-725345543-1004\RemoteAccess\InternetProf ile 22/04/2004 18:05 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\S AC* 06/04/2004 16:21 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\S AI* 06/04/2004 16:21 0 bytes Key name contains embedded nulls (*)
C:\Program Files\Common Files\Microsoft Shared\TriEdit\ Dhtmled.ocx 01/01/1601 04:49 128.88 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\ Triedit.dll 01/01/1601 04:49 153.59 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx 03/04/12194 21:56 128.88 KB Hidden from Windows API.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\Triedit.dll 17/07/12208 11:08 153.59 KB Hidden from Windows API.

Pour le reste, l'ordi est apparemment propre. Dernier scan anti-virus en date : hier avec Kaspersky online. Pour tous les disques : RAS.
Rien à signaler non plus avec les anti-spywares, à part les habituels tracking cookies.

A plus tard.

[A voir en vidéo sur Futura]

[igor51]

Bonsoir

On va utiliser quelque de plus puissant que Rootkit Reaveler


Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

Bonne soirée

[invitee1fff620]

Bonsoir Igor,

Le scan de Gmer n'a rien trouvé.

A plus tard.

[igor51]

Bonsoir,

je ne pense pas que tu es de rootkit

C'estvrai que les dates de créations sont assez spécials dirons-nous :S

On va faie un scan en ligne pour vérifier que ce n'est pas juste une infection :

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.


Bonne soirée

[invitee1fff620]

Bonsoir Igor,

Le scan online de Kaspersky (tous les disques) n'a rien détecté.

A plus tard.