Virus Windows delayed failure

[invited1c0f5a5]

Bonjour,
Mon bureau est noir, dans le menu démarer, je n'ai plus rien à part redémarer et mettre en veille.
Plusieurs messages "Widows-delayed Write failed" avec comme texte " failed to save all the components for the file \\System32\\00005b88. the file is computed or unreadable. This error may be caused by a PC hardware problem" sont apparus.
Une autre fenêtre s'est ouverte "system check" et affiche "14 errors detected".
Mes données sont elles perdu? Comment puis-je faire?
Je tourne sous Windows XP
D'avance merci
-----

[invitec04351b8]

Bonsoir,

tu es infecté par un rogue.

n'utilise pas CCleaner, ATFCleaner ou nj'importe que autre outil qui supprime les fichiers temporaires.

===

Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.

===

Tu ne fais pas redémarrer l'ordi.

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
===

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

===

Lance ZHPFix, clique sur HiddenFix.

Poste le rapport obtenu.

@+

[invited1c0f5a5]

RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussi...Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Ju et Matt [Droits d'admin]
Mode: Suppression -- Date : 29/12/2011 17:38:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 12 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : autoupdater (C:\Documents and Settings\Ju et Matt\Application Data\PCtuto\UpdatePCTuto\autou pdater.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : ufUSmUxNMcl.exe (C:\Documents and Settings\All Users\Application Data\ufUSmUxNMcl.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Ju et Matt\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9966e2b38fd95616450b9635d5304c f4
[BSP] 41bf728e3093af5ba5b7d127cefce1 86 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 54 | Size: 77378 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 151129368 | Size: 77372 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 302247180 | Size: 5248 Mo
3 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 312497352 | Size: 41 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] cefe6c79d90985758b03c8d38ef21b 8b
[BSP] a56233660bfb53271f1530be0d1cdb 87 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 54 | Size: 77378 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 151129368 | Size: 77372 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 302247180 | Size: 5248 Mo
3 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 312497352 | Size: 41 Mo
User != LL2 ... KO!
--- LL2 ---
[MBR] cefe6c79d90985758b03c8d38ef21b 8b
[BSP] a56233660bfb53271f1530be0d1cdb 87 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 54 | Size: 77378 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 151129368 | Size: 77372 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 302247180 | Size: 5248 Mo
3 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 312497352 | Size: 41 Mo

Termine : << RKreport[1].txt >>
RKreport[1].txt

[invited1c0f5a5]

Re, en piéce jointe le rapport malware bytte's antimalware.

[A voir en vidéo sur Futura]

[invited1c0f5a5]

Rapport ZHPDIAG

[invited1c0f5a5]

Avec la piéce jointe, c'est mieux!

[invited1c0f5a5]

Rapport de ZHPFix 1.12.3377 par Nicolas Coolman, Update du 26/12/2011
Fichier d'export Registre :
Run by Ju et Matt at 29/12/2011 19:19:33
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 643 Restauré(s) avec succès
Ma musique (My Music) : 182 Restauré(s) avec succès
Ma Video (My Video) : 2 Restauré(s) avec succès
Mes Favoris (My Favorites) : 16 Restauré(s) avec succès
Mes Documents (My Documents) : 675 Restauré(s) avec succès
Mon Bureau (My Desktop) : 1709 Restauré(s) avec succès
Menu demarrer (Programs) : 35 Restauré(s) avec succès
Dossier utilisateur (AppData) : 86655 Restauré(s) avec succès
Programmes (Program Files) : 0


========== Récapitulatif ==========
89917 : Dossiers/Fichiers cachés restaurés


End of clean in 19mn 33s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/12/2011 19:19:33 [973]

[invited1c0f5a5]

Il me semble que tout soit ok,
Merci Beaucoup!!!!!

[invitec04351b8]

Re,

c'est loin d'être terminé.

Il y a des restes d'adware, des toolbars.

Il y a des mises à jour de logiciels à faire (c'est probablement ta négligence à mettre à jour les logiciels qui est à l'origine de la sévère infection que tu subis.

Le plus grave est que ton MBR est infecté par MaxSS.

===

Ouvre ce lien :

http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous Réparation du système infecté.

Exécute les actions recommandées.

Fais redémarrer si on te dit qu'il le faut pour nettoyer.

Poste le rapport.

Reexécute RogueKiller option 2 et poste le rapport.

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

@+

[invited1c0f5a5]

Bonjour,
Je n'arrive pas à ouvrir le fichier TDSSKILLER, lorsque je clique dessus, rien ne se passe.

[invitec04351b8]

Bonjour,

démarrer, clic droit sur Poste de travail. Clique sur Gérer puis sur Gestion des disques.

Agrandis la fenêtre que l'on voit toutes les colonnes.

Fais une prise écran de cette fenêtre et poste là dans ta réponse.

===

Marque et modèle de l'ordi ?

Tu as une partition de restauration "départ usine" ?

Tu as le CD de Windows ? (CD Microsoft ou de la marque)

===

As tu à ta disposition (ou peux tu te faire prêter) un ordi sain avec graveur de CD ?

On va en avoir besoin.

===

Désinstalle par le Panneau de configuration

UpdatePCTuto 1.0

Tuto Photoshop1.0.0.0

Ca te génère des pubs.

@+

[invited1c0f5a5]

Bonjour
Tous d'abord Bonne année,
ensuite je reviens aprés une bonne semaine de boulot,
en PJ la capture écran de gestion des disques.
Ensuite, oui j'ai un PC clean avec un graveur de CD,
Le PC infecté est un EEPC 1000HE.
Je n'ai pas de CD de restauration, il me semble avoir une partition de restauration caché mais je ne suis pas sûr, j'ai un disque C: et l'autre D: avec des Dossiers cachés.

[invitec04351b8]

Bonjour,

il manque la capture écran.

Meilleurs voeux à toi aussi.

@+

[invited1c0f5a5]

Bonjour,
Avec la PJ cela va mieux!
Bonne journée

[invitec04351b8]

Bonjour,

je prends toujours des précautions quand je suis face à une infection du MBR.

Je vais approfondir ce que dis RogueKiller et Gestion des disques (le MBR a été modifié par le malware et celui-ci est capable de cacher la modification).

Télécharge MBRscan http://eric71.geekstogo.com/tools/MbrScan.exe

Clique sur Report.

Poste le rapport dans ta réponse.

===

Je pense que la suite des opérations va ressembler à ce que j'ai fait faire ici :

http://forums.futura-sciences.com/se...ml#post3802916

Pour le moment, tu ne fais rien, juste regarder pour te faire une idée des manips.

@+

[invited1c0f5a5]

Le résultat de MBR en PJ

[invitec04351b8]

Re,

alors l'information de MBRScan est plus encourageante.

Seul le MBR semble touché et pas la table des partitions;

Une manip en console de récupération devrait être suffisant;

Tu as le CD de Windows ? (ou, à défaut, la possibilité de démarrer sur cette console dans les options avancées du démarrage)

@+

[invited1c0f5a5]

Re,
Je n'ai pas de CD windows, Comment puis-je savoir si je peux " avoir la possibilité de démarrer sur cette console dans les options avancées du démarrage " ?

[invitec04351b8]

Re,

si j'ai bien compris, non seulement tu n'as pas le CD de Windows mais tu n'as pas non plus de lecteur de CD.

On va essayer de faire ce qui est dit ici (pour installer la console) :

http://www.informatruc.com/console.php

Tu fais ce qui commence par

"Ajoutez la console de récupération au dossier de démarrage de Windows XP en utilisant Winnt32.exe"

Tu vas jusqu'à tester si tu démarres sur la console (on en sort par Exit).

J'espère que le malware ne va pas pervertir la console.

@+

[invited1c0f5a5]

Sur le lien pour ajouter la console de récupération au dossier de démarrage de MS windows XP, on me demande d’exécuter la commande " D:\I386\WINNT32.EXE /CMDCONS " n'ayant pas de lecteur cd, ça ne veut pas, ai-je sauté une étape?

[invitec04351b8]

Re,

il est probable que le répertoire i386 est sous C: et pas D:.

Vérifie.

@+

[invited1c0f5a5]

Je suis allé dans winnt32 que j'ai trouvé avec la fonction rechercher dans le menu démarrer, ceci m'ouvre un programme, j'ai mis en PJ 2 capture d'écran, la 1ére montre ce que j'ai au démarrage, la 2nd montre ce que j'ai une fois avoir rép OK.

[invited1c0f5a5]

Idem avec C:, cela me dit que je fais référence à un emplacement non disponible

[invitec04351b8]

Re,

Je suis allé dans winnt32

Le tutoriel ne demande pas ça.

Il demande que tu fasses Démarrer puis Exécuter;

Dans Exécuter, tu tapes C:\i386...... puis OK

Quand tu as la fenêtre Installation de Windows, clique sur Annuler.

@+

[invited1c0f5a5]

Je met en PJ le message qui s'affiche lorsque j'essaye d'exécuter la commande comme le demande le tutoriel, j'ai essayé avec C: et D: . Ce sont mes disques locaux.

[invitec04351b8]

Re,

as tu un répertoire i386 (eventuellement, il faut afficher les fichiers et dossiers cachés et les dossiers système) ?

avec winnt32.exe à l'intérieur ?

Il faut un espace avant /CMDCONS

@+

[invited1c0f5a5]

Re,
Dans le Disque C:, dans le dossier Windows, j'ai un sous dossier i386 avec 2 fichiers winnt32, au niveau du type, 1 affiche "application", l'autre "package windows installer "
Pour l'exécution de commande, j'avais bien essayer avec et sans l'espace.
Slt

[invitec04351b8]

Re,

alors tu tapes :

Code:

C:\Windows\i386\winnt32.exe /CMDCONS

puis OK

[invited1c0f5a5]

Bonjour,
Toujours très occupé, je m'en étais arrété à la semaine derniére, en tapant "C:\Windows\i386\winnt32.e xe /CMDCONS", cela a installé la console de récupération dans le menu démarrage, lorsque je démarre le PC, il me propose soit Windows XP soit de démarrer avec la console de récupération. Que dois-je faire maintenant?
D'avance merci
slt

[invitec04351b8]

Bonjour,

tu démarres sur la console de récupération et tu utilises fixmbr :

http://www.sospc20.com/maintenance_i...ommande=fixmbr

@+