même problème que Jonhlevoyager (12finder)

[Peps28]

Bonsoir à tous,

Mon problème peu peut-être aider d'autres personnes. J'ai fait plusieurs forums pour essayer de le résoudre sans succès.
Jusqu'à tomber sur celui-ci, du coup j'ouvre ce sujet.

Je rencontre depuis quelques jours, le même problème que décrit Jonhlevoyageur. je suis sous XP edition familliale.

Lien :
http://forums.futura-sciences.com/se...-12finder.html


Je ne sais pas comment j'ai chopé ce problème. Cela à commencé avec une serie de messages d'alertes en cascade suivi d'un scan d'un programme bidon "systemfix". Etat du bureau : complétement bloqué, impossiblle de prendre la main et systemfix
qui se lance à chaque démarrage.

Opérations effectuées :
Démarrage en mode sans echec
installation de spybot et bloquage de certaine lignes dans le système de démarrage.
reboot
démarrage en mode normal
plus de systemfix.
Nettoyage avec Malwarebytes et scan antivirus (Antivir)
Plusieurs choses de trouvées comme Jonhlevoyageur trojan fake alerte entre autre.
Essai avec tdsskiller il s'installe mais il ne veut pas démarrer.
Nettoyage de certaines barres de taches avec Hijackthis.

Depuis je n'ai plus de problème avec ce "systemfix" qui arrivait à se ractiver en allant sur certains site comme "system D".
Par contre restait quelques soucis :
Certaines icones de mon bureau avaient disparues + dans démarrer - tous les programmes : liste des programmes présent mais tous les liens vides. Et biensur, le plus gênant, ce problème de reroutage aléatoire d'adresses lors d'utilisation du moteur de recherche google.

Je suis tombé sur ce forum et j'ai suivi les instructions concernant "roguekiller".
Depuis, j'ai retrouvé tous mes icones sur mon bureau et tous les liens des programmes du menu démarrer.
Concernant le reroutage j'ai fait quelques essais concluants, le chargement des pages est plus rapide, mais je ne sais pas si le problème à réellement disparu, le phénomène étant aléatoire.

Quelqu'un peut-il m'aider à le savoir?
Comment peut-on s'en prémunir?
Merci d'avance

Ci joint les deux fichiers text générés par roguekiller
-----

[invitec04351b8]

Bonsoir,

relance RogueKiller et choisis l'option 2.

Poste le rapport en pièce jointe.

Ensuite, tu fais redémarrer l'ordi.

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[Peps28]

Bonjour,

Merci de me répondre et de me venir en aide.

J'ai toujours ce problème de reroutage.

Je fais dans la journée les logs demandés. J'ai déjà lancé ZHPdiag mais il plante mon
PC au milieu de ses analyses.

Je vais le réinstaller et recommencer.

A+

[invitec04351b8]

Bonjour,

si ZHPDiag continue à planter l'ordi, fais ceci :

ouvre ce lien http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est écrit sous Réparation du système infecté.

Poste le rapport en pièce jointe.

@+

[A voir en vidéo sur Futura]

[Peps28]

Bonjour,

Désolé, j'ai dû m'absenter et j'ai pu reprendre les essais que ce matin.

J'ai lancé Roguekiller avec l'option2 : ci-joint rapport.

Avec ZHPdiag ça plante. En décochant dans option "Recherche master boot record infection (MBR) (080) il passe.
J'hésite à mettre le rapport en ligne car il contient beaucoup d'informations lié à ma machine.
Y a-t-il un risque que ces informations soient exploités où détournées par des personnes malvaillantes?

Concernant Tdsskiller, il ne démarre pas.

Je suis en même temps le sujet de Jonhlevoyageur et j'ai vraiment les mêmes symptômes. Et la conclusion semble être de formater...

Autres symptômes constatés :

Lorsque je clic sur un lien d'un email (thunderbird) le navigateur ne se lance pas. obligé de faire un copier coller du lien.

Dans google/image/recherche photo ex "lune" je n'ai qu'une seul page de photos qui s'affiche. Aussi bien avec IE qu'avec firefox. Peut-être simplement un pb de paramêtrage qui a changé, mais pour l'instant je ne l'ai pas trouvé.

Voila

A+

[invitec04351b8]

Bonjour,

les rapports doivent être en PJ, seuls l'équipe antimalwares peut les lire.

Donc poste le rapport de ZHPDiag.

===

Fais aussi ça :

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[Peps28]

Re bonjour,

Ci-joint le rapport ZHPdiag ainsi que le rapport de MBAM dont j'ai fait une mise à jour juste avant de le lancer (mbam2011-11-27)

Pour info, le jour où est apparu mon problème (systemfix) décrit en haut de ce sujet, j'avais installé MBAM et il m'avait trouvé des éléments indésirables que j'avais supprimé.

Je joins aussi le rapport de cette opération (mbam2011-11-20) si il peut aider...

Merci d'essayer de m'aider.


A+

[invitec04351b8]

Bonsoir,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\Software\Classes\imside1egate.application.1]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{fe063db9-4ec0-403e-8dd8-394c54984b2c}
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- AskTBar Uninstall
[HKLM\Software\AskTBar]
O43 - CFD: 09/10/2010 - 09:22:42 - [172376] ----D- C:\Program Files\AskTBar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{fe063db1-4ec0-403e-8dd8-394c54984b2c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{fe063db1-4ec0-403e-8dd8-394c54984b2c}]
[HKLM\Software\Classes\CLSID\{fe063dbb-4ec0-403e-8dd8-394c54984b2c}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{fe063dbb-4ec0-403e-8dd8-394c54984b2c}]
C:\Program Files\AskTBar

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Clic droit sur l’icône Poste de travail.
Dans le menu contextuel, choisir l’option "Gérer".
Dans la rubrique Stockage, cliquer sur Gestion des disques.

Mets moi l'image de la fenêtre dans ta réponse.

@+

[Peps28]

Re,

Voila c'est fait

A+

[invitec04351b8]

Re,

pour ne pas faire d'erreur d'interprétation, tu peux me donner des infos sur l'ordi :

- marque ou assemblage à la demande ?

- le manuel mentionne une partition de recovery ?

- le CD de récupération est un CD de Microsoft ou de la marque de l'ordi ?

- la seconde partition existait lors de l'achat (tu ne sais probablement pas)

- si tu fais un clic droit sur la partition C:, as tu la possibilité de la marquer active (ligne en noir)

@+

[Peps28]

Bonjour,

C'est un PC d'assemblage et à part le manuel de la carte mère et de quelques périphériques c'est tout. J'utilise un CD Microsoft.

Le disque dur c'est une version OEM acheté pour remplacer l'ancien qui commençait à avoir des signes de faiblesse. Lors de son formatage, je ne me rappel pas avoir vu cette partition de 6,17 Go, en fait je ne sais plus si elle existait déjà.

Je peux marquer active la partition C

A+

[invitec04351b8]

Bonjour,

il y a une solution qui passe par la création de Gparted et de la Console de récupération sur CD.

Mais je consulte mon réseau pour voir si on ne peut pas résoudre le problème plus simplement.

@+

[Peps28]

Re bonjour,

Penses-tu que cette partition est lié a mes problèmes?

A+

[invitec04351b8]

Re,

oui, je pense que tes problèmes sont liés à cette partition.

Je vais te donner la manip à faire.

Avant de l'exécuter, tu lis tout et tu me dis.

Il serait préférable que tu ais un autre ordi à coté pour suivre les instructions.

Tu peux aussi commencer par aller voir comment se présente Gparted et quitter sans rien modifier.

De préférence avec un ordi sain, télécharge: gparted-live-0.10.0-3.iso (115.1 MB)
Windows XP Recovery Console rc.iso

Crée un CD bootable, 1 pour Gparted and 1 pour la Console de récupération de Windows, à partir des images iso. Tu peux utiliser ImgBurn pour le faire.

Fais démarrer l'ordi à partir du CD de Gparted.

Tu peux t'aider de ce tutoriel :

http://altpc.perso.neuf.fr/gparted_060.htm

pour voir ce qui se passe au démarrage.



Tu dois arriver sur l'écran principal (image en anglais)



La partition à supprimer est celle qui fait

Mets la ligne correspondante en bleu et clique sur l'icône de Suppression et clique sur Appliquer.


Tu devrais être ici pour confirmer ton action :


Tu devrais voir ceci :


(en particulier, la bonne partition est encore visible)



Est ce que "Démarrage" (ou une autre traduction de Boot) figure dans la colonne Drapeau (ou une autre traduction de Flags)?

Si ce n'est pas le cas, mets toi sous "Drapeau", fais un clic droit et choisis

Modifier les drapeaux (ou une autre traduction de Manage Flags

Dans le menu qui s'ouvre, coche la case démarrage comme dans l'écran ci-dessous :


Maintenant double clique sur le bouton .

Tu vas voir une fenêtre qui s'ouvre comme celle-ci :

Choisis Redémarrer (ou toute autre traduction de Reboot) et clique sur OK.

Maintenant tu redémarres sur la Console de récupération de Windows XP et tu exécutes les commandes suivantes :

• fixmbr \Device\HardDisk0
• fixboot c:
• exit

Redémarre normalement.

Télécharge MBRCheck.exe sur ton Bureau.

• Vérifie que tu as désactivé tous tes programmes de sécurité
• Double sur MBRCheck.exe pour l'exécuter
• Une fenêtre va s'ouvrir
• Si un MBR inconnu est trouvé, d'autres options vont devenir disponibles. Si c'est le cas, clique sur N puis 2 fois sur Enter .
• Si tout estnormal, tape seulement sur Enter
• Un fichier .txt appellé MBRCheck_mm.dd.yy_hh.mm.ss va apparaître sur le Bureau
• Mets ce fichier en pièce jointe dans ta réponse.

@+

[Peps28]

Bonsoir,

J'ai transféré sur un autre ordi tous mes outils en prenant certaines précautions. Je comptais de toute façon le faire prochainement.
Donc pas de soucis pour essayer des manips dessus.

Je vais avoir du mal d'essayer ces prochains jours, pris par le boulot. Mais je regarde çà.

Une petite question qui n'à rien avoir.
Savez vous si on peut scanner uniquement un fichier ou répertoire avec Avira antivirus Personal Free?

A+

[invitec04351b8]

Re,

un fichier, c'est sûr.

Un dossier probablement.

Tu fais un clic droit et tu dois avoir l'option de scanner avec l'antivirus.

@+

[Peps28]

Bonjour,

Merci pour la réponse sur antivir.


Pour la suite, j'ai gravé les 2 CD bootables avec Imgburn mais je ne peux booter qu'avec un seul, le CD de récupération windows.
Celui de Gparted ne boot pas, je l'ai testé sur les 2 machines. J'ai fait une autre gravure sur un autre CD avec vitesse d'écriture beaucoup plus lente, Idem. Sur les 2 CD j'ai bien le nom de volume "Gparted Live".

A+

[invitec04351b8]

Bonjour,

ce peut être le téléchargement qui s'est "mal terminé".

Le mieux est de recommencer au départ (et d'utiliser des réinscriptibles).

Tu as utilisé le lien que j'ai donné ?

La machine n'est pas un HP ?

===

Si tu bootes sur le CD de récupération, c'est que tu as changé l'ordre de boot. Tu confirmes ?

===

Si ça ne fonctionne toujours pas, on va accéder à Gparted via une autre distribution Linux.

Je te propose celle là :

http://www.commentcamarche.net/faq/4...-cd-de-secours

qui fait référence à http://www.commentcamarche.net/faq/4...partition-ntfs

qui te dit comment lancer Gparted à partir de Knoppix.

@+

[Peps28]

Re,

J'ai téléchargé une deuxième fois Gparted depuis le même lien, celui que tu m'a donné.
En effet les 2 fichiers non pas la même taille. Le premier fait 150Ko et le deuxième 216Ko. Avant re réessayer (pas de réinscriptible), peux tu me dire si 216Ko correspond à la taille du fichier Gparted-live-0.10.0-3?

Pour répondre à tes questions :

La machine n'est pas une HP, c'est aussi de l'assemblage.

J'ai inversé l'ordre de boot pour tester les CD, le Gparted ne fonctionnant pas....
Je n'ai fait aucune action, juste testé.

A+

[Peps28]

Bonsoir,

Je me suis procuré un réinscriptible.
J'ai gravé avec Imgburn le fichier iso Gparted le deuxième de 260Ko que j'ai téléchargé à la même adresse. Même résultat, ça ne veut pas booter et sur les 2 machines.

Pour info, j'ai utilisé l'option "Write image file to disc" de Imgburn. Je pense que c'est la bonne option car je l'ai utilisé pour graver le CD de récupération windows qui lui boot bien.

En comparant la taille des répertoires et des 2 fichiers (dans le répertoire racine) des 2 CD, ils sont identiques malgrés que les fichiers Iso eux sont différents 150Ko et 216Ko.

J'essayerai la deuxième méthode que tu m'as donné d'içi la fin de la semaine.
A moins que d'içi là, tu as une autre solution avec Gparted à me proposer.

A+

[invitec04351b8]

Bonsoir

je viens de télécharger le fichier de Gparted.

Il fait 109 Mo, 115 079 168 octets en taille et 115 081 216 octets sur disque (en cliquant sur Propriétés).

@+

[Peps28]

Bonjour,

Un peu de temps ce WE pour me remettre dessus.

J'ai vérifié la taille des fichiers en ISO et sur les CD une fois gravés.

Rappel :
J'ai téléchargé à la même adresse 2 fois le fichier Gparted.iso qui font 2 tailles différentes ( 1 de 216Ko et 1 de 150Ko).
J'ai gravé 3 CD (2 CDR et 1 CD RW)

Résultat :
Clic droit, "Propriétés" sur fichier ISO 150Ko : Taille 149Ko (152 672 octet) - Taille disque 152Ko (155 648 octet)
Clic droit, "Propriétés" sur fichier ISO 216Ko : Taille 215Ko (220 176 octet) - Taille disque 216Ko (221 184 octet)
Clic droit sur les 3 CD : Taille 115 079 168 octet.

Je me lance dans la solution à partir de Knoppix.

A+

[Peps28]

Re,

Depuis les liens que tu m'as donné, j'ai voulu téléchargé Knoppix depuis "Site officiel français" et j'ai comme retour un message "Serveur en panne l'équipe APINC".

Et sur "lien rapide" IE ne peut afficher cette page.

A+

[invitec04351b8]

Bonjour,

je crois que tu vas trouver la Knoppix ici :

http://ftp.mn-linux.org/linux/iso/KN...2007-01-04-EN/

@+

[Peps28]

Bonsoir,

J'ai téléchargé et gravé Knoppix et ça fonctionne.

J'ai lancé depuis la fenêtre "Shell-Konsole" l'utilitaire Gparted.

Le scan est relativement long, avec des messages qui s'affichent dans la fenêtre "shell-Konsole" du type:
Unable to open /dev/cloop0 - unrecognised disk label. Est-ce normal?

Dans Gparted il finit par m'afficher uniquement une seule partition :
Partition : unallocated
Filesystem : unallocated
Size : 1.90GiB

Il ne m'affiche pas la partition NTFS de windows comme décrit dans les explications que tu m'as donné plus haut (sur la première photo).

Est-ce normal? Dois-je continuer en sélectionnant celle qui me propose de 1,90Gi?

A+

[invitec04351b8]

Bonsoir,

visiblement, cette version ne "voit" pas ce que l'on veut.

On ne continue pas avec ça.

On va essayer de revenir à l'outil de départ.

Ouvre ce lien :

http://sourceforge.net/projects/gpar...able/0.10.0-3/

Télécharge puis grave le fichier .iso.

Ressaye.

Les partitions vue par la Gestion des disques de Windows sont décelées ? (ce sont elle qu'il nous faut).

@+

[Peps28]

Bonjour,

J'ai en fin en CD qui boot depuis le fichier gparted-live-0.10.0-3.iso.

Une fois Gparted démarré, Il trouve deux partitions:

Partition : /dev/sda1
Système de fichiers : (carré vert) ntfs
Taille : 68,36 Gio
utilisé : 30,33 Gio
Inutilisé : 38,03 Gio


Partition : /dev/sda2 associée à un triangle jaune avec un point d'exclamation (!)
Système de fichiers: (carré vert) ntfs
Taille : 6.17 Gio
utilisé : ...
inutilisé : ...
Drapeaux : Boot, hidden

En effet, le résultat se rapproche de "Gestion des disques" de windows. (La partition 6,17 Go est vu en ntfs par Gparted mais pas par windows)

Si je comprend bien, la machine démarre sur la deuxième partition sur laquelle se trouve le boot windows modifié par un malware?

Dois je poursuivre la suite de la procédure?

A+

[invitec04351b8]

Bonjour,

oui, on est exactement dans le cas de figure prévu.

@+

[Peps28]

bonsoir,

Pris par le boulot, je n'ai pu mis remettre que maintenant.

J'ai effectué les divers étapes: Gparted, console de récupération windows et MBRcheck.

Ci-joint le rapport MBRcheck.


Apparemment, il a trouvé un MBR connu. L'a-t-il supprimé ?

A+

[invitec04351b8]

Bonjour,

tu refais ça qu'on voit où on en est (ce qu'a fait Gparted) :


Clic droit sur l’icône Poste de travail.
Dans le menu contextuel, choisir l’option "Gérer".
Dans la rubrique Stockage, cliquer sur Gestion des disques.

Mets moi l'image de la fenêtre dans ta réponse.

@+