[RESOLU] Reboot lors de l'analyse adaware

[jibe]

Salut,

Des amis m'ont confié une bécane complètement infestée de saletés qui bloquaient un peu tout. J'ai réussi peu à peu à l'en débarasser, mais apparemment il reste quelque chose de bien caché que je ne trouve pas. Les symptomes sont les suivants :

- Impossible de faire une analyse avec Ad-aware 2007 : elle se lance, puis au bout de quelques secondes le PC reboote.
- Dès que je me connecte à Internet et que je relance spybot S&D, il me retrouve deux ou trois nouvelles saletés (parfois des déjà vues, parfois des nouvelles),
- Impossible de lancer Ad-aware ni spybot en mode sans echec
- Impossible de désactiver la connexion réseau (j'ai fini par y parvenir en désactivant la carte réseau elle-même, en mode sans echec),
- La mise à jour d'Ad-Aware 2007 plante une fois sur deux,
- J'ai au démarrage un message "le système a récupéré une erreur sérieuse", et spybot me demande si je veux autoriser une modification du registre :
Catégorie : System Startup Global Entry
Modif : Valeur ajoutée
Elément : KernelFaultCheck
Nouvelle valeur : %systemroot%\system32\dumprem 0 -k
Je refuse toujours la modif...

Je précise que j'ai presque tout supprimé de ce qui est lancé au démarrage avec regcleaner, nettoyé la base de registre avec regcleaner et cclean, supprimé tous les fichiers trouvés infectés par clamav lancé depuis Linux, réinstallé avant chaque utilisation ad-aware et spybot et essayé pas mal de trucs donnés sur internet.

Je voulais mettre mon dernier log hijackthis, mais ma partition NTFS ne s'est pas montée... Je vois pourquoi et je reposte...

-----------------

Me revoilà... Chose un peu curieuse : la partition W$ ne se montait pas parce que soi-disant Windows était lancé !!! En fait, j'étais reparti sous Linux directement après le reboot de mon dernier essai ad-aware. Mauvais arrêt de W$ probablement, d'ailleurs avec tout ce que j'ai supprimé, ce ne serait pas surprenant qu'il manque quelques trucs indispensables qui étaient infectés...

Mais le curieux est que W$ a redémarré normalement, comme si rien ne s'était passé (toujours le cas après un reboot lors de l'exécution d'AdAware)... Et là, ma partition s'est bien montée automatiquement...

Bon, voilà le log hijackthis :

Code: Tout sélectionner

Logfile of HijackThis v1.99.1

Scan saved at 09:54:13, on 20/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\COMOne\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\COMOne\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\COMOne\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\COMOne\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\COMOne\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Track Learning Management System (TTLMS) - Unknown owner - C:\WINDOWS\system32\ttlms.exe (file missing)

O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINDOWS\system32\w32mvs.exe (file missing)

Voilà... Si quelqu'un a une idée pour éliminer cette dernière sale bête bien cachée, ou des pistes pour tenter de la cerner...

[merlin2000]

salut a tous et toutes



jibe ==> as tu tenté de démonter le hdd et de le mettre en esclave sur une machine saine avec toutes les dernières MAJ de ton bon anti-virus préféré. et lancer un scan de ce hdd la ? , sinon il y a le site de www.secuser.com qui a un mode anti-virus en ligne qui a de chance de marcher.


donc pour résumer.

1- un scan du pc via http://www.secuser.com
2- mettre le disque en mode esclave dans un autre pc et lancer un scan depuis l'anti-virus a jour biensur ^^

sur ce , bon courage.

[jibe]

Salut,

Pas tenté secuser... Je vais essayer !

Par contre, j'ai lancé une analyse par clamav en bootant sous linux : même chose donc qu'un démontage du disque, mais en plus simple

[merlin2000]

oupsss desolé maitre moi simple tech info en cours de deformation informatique pour devenir calif a la place du calif.






ps ; super ton site perso.

[Billou02]

Salut Jibe,

si tu veux quelque chose de performant, le cd de bitdefender 2008 est aussi un iso bootable avec une gentoo modifiée dessus pour le scan.
il te propose l'antivirus bitdefender mise a jour sur le net et ca marche pas mal.
par contre si tu veux mon avis, enlève le module de spybot (teatimer je crois le résident) il me génère beaucoup d'erreurs. il vaut mieux le poser quand la machine est saine.

ton log Hijackthis me parait bon.
vois pour faire un test matériel, un reboot intempestif en cours d'analyse, ca peut aussi venir d'un secteur défectueux sur le hdd
un site pas trop mal si tu souhaite avoir un peu plus d'infos, le gsi parser de Kaspersky :
http://gsi.kaspersky.fr (gratuit)

Prends ce petit prog : GsiParser
il va te créer un fichier texte et tu l'upload sur le site de kaspersky et il va te donner des infos sur tes services et programmes en cours de fonctionnement.

tiens nous au courant

[jibe]

oupsss desolé maitre moi simple tech info en cours de deformation informatique pour devenir calif a la place du calif.

Tu sais, hormis un peu d'expérience, le calife n'est qu'un homme comme les autres

Pas pu faire l'analyse par secuser. L'ActiveX nécessaire ne veut pas s'installer... Probablement un truc qui a été mis en quarantaine et qui fait défaut... Le mieux serait de réinstaller XP, mais ils ne l'ont pas (arnaque du vendeur semble-t-il !) et moi je n'ai pas de CD de cette version...

@Billou02 : Merci pour tes conseils. J'essaie tout ça ASAP. Par contre, je ne crois pas à un problème HDD : les scans Spybot, clamav et autres que j'ai fait l'auraient bien trouvé...

[merlin2000]

ha oui sous secuser il n y a que le internet explorer qui peut lancer le module du scan en ligne sur ce site , sinon http://housecall65.trendmicro.com/ de trendmicro, c'est ce module qu'utilise le site secuser.com


il est valide depuis internet explorer ou firefox.

++

[Billou02]

N'hésite pas a regarder l'observateur d'évènements pour connaitre la raison du reboot intempestif !

[tomtom]

Le mieux serait de réinstaller XP, mais ils ne l'ont pas (arnaque du vendeur semble-t-il !) et moi je n'ai pas de CD de cette version...

Oui franchement, un PC dans cet état, moi je tente même pas de le sauver... La réinstallation est la seule voie en tremps raisonable à mon sens.

Concernant winwin, si il y a la license, tu as le droit de télécharger ou copier n'importe quel CD. Je crois que le vendeur n'est pas obligé de le fournir. Souvent, ils font un package avec le winwin et leurs applications déja installées.


t.

[merlin2000]

salut a tous et a toutes


pour tomtom==> c est pas très pro de tout réinstaller dans tu es en environnement professionnel, pour moi c'est la dernière option car tu ne seras jamais quelles étaient les causes exactes de l'état du pc.
mais d'un autre coté il ne faut pas non plus perdre trop de temps sur le problème, a moins qu'il devienne récurrent. mais bon je dis ca mais je dis rien lol


pour jibe ==> tu t en sors du coup avec on pc qui a des hauts le coeur lol ?


bon courage.

[jibe]

Salut,

Bon, j'ai fini par trouver grâce à GsiParser (pas mal du tout ce truc !). La bécane avait (en plus de tout le reste !!!) un rootkit Rustock que j'ai supprimé grâce à gmer. Ad-aware s'est immédiatement mis à fonctionner normalement => c'est un stratagème du rootkit pour ne pas être détecté. Spybot ne le voit pas du tout et se comporte tout à fait normalement. Heureusement que je passe toujours les deux et qu'Ad-aware m'a mis la puce à l'oreille par son plantage !

Oui franchement, un PC dans cet état, moi je tente même pas de le sauver...

Je ne fais pas ça d'habitude... Mais comme ce sont des amis, et qu'ils n'ont pas pu trouver quelqu'un de sérieux (ce n'est pas leur première galère... ils avaient eu des problèmes matériel et se sont aussi fait arnaquer...). En plus, pour éviter qu'ils se chopent tant de saletés, je leur ai installé Linux en dual boot et supprimé tout accès Internet sur Windows. Si je ne pouvais pas réinstaller moi-même, je ne voulais pas qu'ils retournent chez un revendeur pro-windows qui les arnaque encore une fois et leur supprime Linux...

pour tomtom==> c est pas très pro de tout réinstaller dans tu es en environnement professionnel, pour moi c'est la dernière option car tu ne seras jamais quelles étaient les causes exactes de l'état du pc.

Si, au contraire. Tomtom t'a déjà donné une raison : "La réinstallation est la seule voie en tremps raisonable". Tu ne peux pas te permettre de facturer une intervention qui coûterait 10 fois le prix d'une réinstallation. Les contrats de maintenance prévoient toujours (enfin... devraient) que le client est responsable de ses données et doit avoir des sauvegardes à jour. Au pire, s'il n'en a pas, c'est relativement vite fait.

Par ailleurs, comment être absolument certain que tout a été remis en un état propre et fiable ? Si je ne tentais pas de passer Ad-aware 2007 après Spybot, je ne me serais jamais douté qu'il restait ce rootkit quasi indétectable... Spybot, clamav, hijackthis et Adaware 1.06 SE ne le détectent pas... Donc, en voulant "être pro", tu rends une machine non totalement désinfectée !

"]Concernant winwin, si il y a la license, tu as le droit de télécharger ou copier n'importe quel CD

Probablement. Le problème est que je suis un très mauvais pirate, et que je n'en ai pas trouvé à télécharger... Et comme normalement je n'installe jamais l'édition familiale, c'était impossible.

Je crois que le vendeur n'est pas obligé de le fournir.

Ca me surprend, bien qu'effectivement j'ai vu sur internet un ou deux trucs qui le laisseraient penser. Mais pour moi, c'est une prise d'otage : le client ne peut plus réinstaller qu'en passant par le vendeur... Me demande si c'est vraiment légal !

si tu veux quelque chose de performant, le cd de bitdefender 2008 est aussi un iso bootable avec une gentoo modifiée dessus pour le scan.

Oui, mais je n'ai pas réussi à en trouver une version d'évaluation en téléchargement.
Et comme les très rares fois où j'ai installé des antivirus (pas vraiment mon job de m'occuper d'installations W$) je mets Kaspersky...