anti-virus neutralisé, mode sans échec impossible - Virus/Spywares - Windows & Software
Marsh Posté le 24-08-2007 à 11:17:57
Essaies F Secure online, pas besoin d'installer:
http://support.f-secure.fr/fra/home/ols.shtml
Marsh Posté le 24-08-2007 à 11:25:42
Merci, je vais tester ce lien, peut-être que ça résoudra mon cas personnel..
Ma question était plus générale : quels sont les programmes les plus connus qui provoquent ce genre d'incident (virus, chevaux de Troie, spywares, ...), et quelles sont les solutions les plus adaptées ? Et ce qu'il ne faut pas faire ?
Je pense qu'il n'est pas nécessaire de rentrer dans le détail, car je suppose qu'il y a une palanquée de malwares qui provoquent ce genre de soucis.
Marsh Posté le 24-08-2007 à 12:22:43
On va peut-être y aller pas à pas. D'abord la recherche de virus ensuite le hard.
Je dis ca car je sais par exemple le virus Bagle neutralise les anti-virus.
J'en connais d'autres mais qui sont eux visibles. Ils affichent des messages comme quoi tu es infecté et t'invites à télécharger un soft. Un scan de la machine et le virus éteint la machine.
Marsh Posté le 24-08-2007 à 14:18:47
Neutralisés : mcAfee et spybot.
Installation inefficace : avast.
Plusieurs exe de sécurité sont neutralisés.
Ad-aware fonctionne. En rentrant à la maison ce midi, j'ai vu qu'il avait trouvé un objet critique, sans rapport avec le problème. En revanche, une fenêtre s'était affichée signalant que des fichiers Windows ont été remplacés par une version inconnue. J'étais invité à mettre mon CD Windows XP d'origine. Apparemment, ça n'a rien changé.
J'ai téléchargé F-secure à partir d'un autre PC et je l'ai lancé sur le PC infecté. On verra bien ce soir s'il a trouvé quelque chose.
En tout cas, le problème n'est pas matériel, c'est maintenant certain.
Un virus comme Bagle est une bonne piste. Est-il capable d'empêcher le fonctionnement du mode sans échec ?
Marsh Posté le 24-08-2007 à 14:35:44
Suffit que quelques fichiers systeme soit écrasés/falsifiés et hop terminé, pas plus compliqué que ça. Par contre, comment tu as fais avec F Scevure online pour le transporter sur un autre pc ?
Bref, un bon format et réinstall à mon avis ca sera plus rapide et plus efficace...
Marsh Posté le 24-08-2007 à 14:42:59
je ne sais pas si bagle empêche le mode sans échec mais tu peux jeter un coup d'oeuil sur ce topic: http://forum.hardware.fr/hfr/Windo [...] m#t2716083
Si tu fais une analyse avec Blacklight, regarde surtout si il y a un fichier caché dans windows.
Ensuite tu peux faire une recherche avec google ou alors poster le ou les noms des fichiers. Ensuite on connaitra le nom du virus ainsi que la solution.
Marsh Posté le 24-08-2007 à 14:51:10
J'ai utilisé une cé USB. Le programme téléchargé est un installateur, mais apparemment, au lieu d'installer un logiciel, il passe directement au menu de nettoyage.
J'indiquerai ici le résultat.
J'ai supprimé la sauvegarde du système vu que les virus aiment bien se cacher là. Elle était probablement vérolée.
Ce soir, je pense commencer par sauvegarder mes données. Puis j'envisage d'inverser mes 2 disques et d'installer provisoirement WinXP sur mon actuel disque D. Ca devrait me donner quelques possibilités d'actions. Notamment avec mon antivirus ou avec avast.
(Je n'ai plus en tête le nom du répertoire qui sauvegarde les fichiers d'origine pour restaurer windows quand on utilise le mode sans échec. Logiquement, ça devrait être le même contenu sur les 2 disques une fois SP2 réinstallé).
Reformater, oui, probablement, mais il serait préférable d'identifier d'abord le coupable.
Marsh Posté le 24-08-2007 à 14:57:53
ogaby a écrit : je ne sais pas si bagle empêche le mode sans échec mais tu peux jeter un coup d'oeuil sur ce topic: http://forum.hardware.fr/hfr/Windo [...] m#t2716083 |
C'est celui-là que j'ai lancé ce midi. Réponse dans la soirée si tout va bien.
Pour l'origine, je parierais bien sur un fichier de messagerie, (plusieurs utilisateurs du PC = multiplication des risques avec les spams).
Marsh Posté le 24-08-2007 à 15:39:19
J'ai eu le même cas que toi. Tout à coup l'antivirus s'est trouvé désactivé, tout ce que j'essayais d'installer se passait bien, sauf qu'à la fin de l'install, je n'avais pas le .exe dans le répertoire du prog. Le PC ne voulait pas démarrer en mode sans echec non plus. La restauration système ne marchait pas non plus....Du coup, j'ai récupéré une image que j'avais faite et depuis ça reroule....Bon courage
Marsh Posté le 25-08-2007 à 09:14:50
F-secure m'a donné une liste de 24 fichiers cachés, invisibles sous explorer, même en autorisant la visibilité maximale. En mode commande dos, pas visibles non plus, mais par cd et dir, il est possible de se deplacer et de voir les fichiers dissimulés. Del permet de les virer, ce que j'ai fait.
Puis un coup d'ad-aware, norton2000 et regcleaner puisque ceux-là fonctionnent. Là, j'ai pu redémarrer un mode sans échec, pas directement d'ailleurs, mais l'essentiel c'est que je l'ai obtenu.
J'ai pu alors installer avast (mais pas viruscan).
Avast a détecté et viré Trojano-3384. Il m'a proposé un contrôle au prochain démarrage.
Redémarrage : il m'a trouvé Apbost et Trojano-3577 dans des exécutables jamais lancés que viruscan laissait passer sans broncher !
J'ai alors pu réinstaller spybot, mais j'ai eu droit à des fenêtres dos signalant une opération interdite par un programme spybot~1.exe dans un mystérieux sous-répertoire Local Settings/Tempg/isLGDAK.exe.
Comme j'avais le choix d'ignorer les alertes successives, j'ai ignoré et spybot s'est installé.
Je l'ai mis à jour et lancé.
Pendant que spybot secouait mes fichiers, avast m'a signalé un virus, et là je pense qu'on tient le coupable : Beagle.
En principe, il est supprimé, mais je vais bien entendu recommencer les manips, et si possible en mode sans échec.
(Mon PC_restore est toujours désactivé).
L'objectif, outre remettre mon PC tout propre, c'est de voir si le formatage peut-être évité pour tous ceux qui ont le même problème.
Résultat de Spybot :
- Microsoft WindowsSecurityCenter.AntivirusOverride (avec clé dans le registre)
- Microsoft WindowsSecurityCenter_disabled (avec clé dans le registre)
- Win32Agent.bgy (avec clé firtrun dans le registre et dossier c:\windows\exefld)
Marsh Posté le 25-08-2007 à 16:25:17
bonjour je viens d avoir le trojan bagle, anti virus et spyware neutralisés
le pc ralenti.j ai marque dans mon topic comment j ai fait, si ca peut t aider.
pas eu besoin de formater
a+
cooperman08, mon topic hidr.exe et autres
Marsh Posté le 25-08-2007 à 19:38:34
cooperman08 a écrit : bonjour je viens d avoir le trojan bagle, anti virus et spyware neutralisés |
Tu as réussi à retablir le fonctionnement du mode sans échec ? Moi, je ne l'obtiens que par un menu de réparation manuelle, mais pas par l'un des trois modes sans échec habituels (avec ou sans réseau, ou mode ligne).
OTMovit.exe, c'est ici :
http://download.bleepingcomputer.c [...] MoveIt.exe
Pour la petite histoire : j'ai trouvé l'origine du virus. Une clef USB qui a servi à un transfert de fichiers d'un autre PC au mien.
Viruscan n'y a vu que du feu. La performance de avast m'étonne. Je me demande si je ne vais pas le préférer au Mcafee offert par ma boîte à ses employés pour éviter en principe ce qui vient de m'arriver.
Marsh Posté le 25-08-2007 à 22:48:09
Tu as réussi à retablir le fonctionnement du mode sans échec ? Moi, je ne l'obtiens que par un menu de réparation manuelle, mais pas par l'un des trois modes sans échec habituels (avec ou sans réseau, ou mode ligne).
oui tout est redevenu normal le mode sans echec egalement
et je vais passer a avast, mon norton symantec laisse trop passer
a+
Marsh Posté le 26-08-2007 à 00:37:05
Moi, j'ai bien les menus qui s'affichent, mais quand je sélectionne un des 3 modes, tout redémarre à zéro. Il n'y a que la ligne pour la récupération de domaine qui marche et aboutit à un mode sans échec.
J'ai essayé en mode commande sfc/scannow pour rétablir mes chiers protégés de Windows XP. Mais ça me réclame le CD de Windows XP Pro au lieu de mon original qui est familial. J'ai un XP Pro pour le portable du boulot. Ca accepte ce CD-là, mais je peux repasser 10 fois la commande, 10 fois le programme réclamera les mêmes fichiers.
Je n'ose pas modifier la config pour lancer le mode sans échec par défaut, ça risquerait de boucler sans fin. Donc, je suis dans les sauvegardes pour l'instant. Les manoeuvres à risque, ce sera pour plus tard.
Marsh Posté le 24-08-2007 à 10:36:04
D'après les quelques messages que j'ai pu lire ici, il existerait un ou plusieurs programmes malveillants capables de neutraliser et d'empêcher l'installation d'un antivirus.
Je viens de constater le problème ce matin sur mon PC familial. Quand j'ai voulu lancer la mise à jour de l'antivirus, l'icône avait disparu. J'ai eu tort de désinstaller l'antivirus pour le réinstaller, car depuis, impossible de remettre un fichier exe dans le répertoire viruscan. Même si c'est un répertoire tout neuf, le programme me dit que je n'y ai pas accès. Je suppose qu'installer d'autres antivirus sera également impossible.
Pas moyen non plus de démarrer en mode sans échec. En revanche, je peux toujours démarrer en mode normal. En principe, je devrais donc pouvoir sauvegarder mes données, première tâche à effectuer en rentrant à la maison ce soir..
Ma question : de quel genre d'attaque vient ce type de problème ? (Je suppose qu'il y a plusieurs candidats )
Un reformatage est-il indispensable, ou y a-t-il des solutions moins lourdes ?
Avant de partir au boulot, j'ai lancé ad-aware. Je compte aussi lancer spybot, regcleaner, norton 2000 et un peu tout ce qui me tombera sous la main pour détecter des problèmes. J'envisage aussi de supprimer provisoirement PC_restore.
S'il s'avère que je ne peux pas copier un fichier exe, je peux essayer une petite astuce qui marche assez bien dans d'autres circonstances.
Dans le cas d'un fichier exe impossible à supprimer, en général à cause d'un virus, il arrive qu'il puisse être renommé par exemple en txt.
Au redémarrage, le fichier txt peut-être effacé. Là, je pourrai toujours tenter l'inverse : copier iun fichier avec une extension forcée à txt et voir s'il peut être renommé en exe, au besoin en mode command dos. Je pense à stinger.exe, qui ne nécessite pas d'installation. (Y a-t-il mieux ?)