Jump to content

[RÉSOLU] [Virus] Armée de virus qui ne se laissent pas faire.


Recommended Posts

Bonsoir,

En cette heure tardive, je vous demande votre aide afin de dépanner le PC d'un ami qui a bien souffert.

N'étant pas chez lui actuellement, je ne pourrais vous rendre de rapports quelconques que demain, mais j'essaye de m'informer un maximum avant d'y retourner pour la troisième fois et tenter de le remettre sur pieds.

Au départ, c'était un simple problème de "Gendarmerie Nationale", rien d'alarmant, facile à supprimer.

Seulement, j'ai remarqué qu'Avast! refusait de démarrer et j'ai voulu comprendre d'où cela pouvait venir. Au démarrage, Avast! (lui-même) dit qu'il y a une modification non autorisée de son fichier AvastSvc.exe et demande si on veut continuer l'exécution, disant que c'est risqué. Que l'on réponde oui ou non, Avast! démarre, mais ses services ne démarrent pas du tout. En clair, on se balade sans anti-virus. J'ai tenté la désinstallation/réinstallation deux fois, sans succès.

Je décide de sortir Malwarebytes (solution proposée sur le site officiel d'Avast! pour ce problème) et lance un scan. Au bout de 30 secondes, Malwarebytes se coupe totalement et lorsque j'essaye de le relancer, erreur. L'installation est foutue. Je désinstalle/réinstalle, même problème. Quelque chose me bousille l'installation. J'ai même essayé de renommer l'exécutable (toujours des solutions trouvées par-ci par-là sur les forums), rien à faire.

Je télécharge et installe Spybot S&D pour faire un scan. Plein de choses ressortent et à chaque fois, je supprime. J'ai dû passer 3-4 scans au début. Au bout de 6h à faire des scans, toujours cette même erreur au démarrage. Pas possible...

Solution ultime et temporaire, contourner le problème en installant un autre anti-virus (en attendant quoi). Je décide d'installer Avira (disons qu'il n'y a pas énormément de choix dans le gratuit, il n'y a que celui-ci qui sort un peu du lot selon moi, après Avast!) en étant conscient que j'ai déjà eu affaire à plusieurs faux-positifs de sa part. Résultat, il s'excite dès le départ et enchaîne 5 trouvailles. Je décide de rentrer chez moi, il est 02h du matin.

Le lendemain, je reviens plein d'espoir et lorsque je l'allume, miracle, plus de connexion internet. Je vérifie bien tout, rien n'a changé. Je tente même de passer par Wifi au lieu d'ethernet. Des réseaux sont trouvés, mais la connexion est carrément impossible.

Il ne s'est absolument rien passé entre avant-hier soir et hier matin. Il est resté éteint et ça a quand même réussi à me casser ma connexion ><.

Ne sachant plus quoi faire, je fais un scan complet de la machine. 22 virus trouvés et 1 suspect. Je met tout en quarantaine, faute de pouvoir les supprimer complètement.

Je relance un autre scan de rootkits (le truc qui est proposé aussi avec Avira) et il trouve aussi quelque chose que je met en quarantaine.

Vers 23h, je décide de jeter l'éponge. J'ai essayé tout ce que je pouvais faire et qui me soit venu à l'esprit (j'ai même passé un coup de XP TCP/IP Repair, dans mon désespoir). La seule solution reste le formattage pur et simple de tout le disque dur. Déjà que d'essayer d'éradiquer tout ce qui grouille sur ce PC prendrait énormément de temps, je pense qu'un formattage me ferait presque gagner du temps.

Seulement, du côté de chez mon ami, ils ne sont pas tous unanimes et redoutent un peu le formattage complet (compréhensible, ils ont tous leurs souvenirs dessus et même en les sauvegardant, ils hésitent).

Je m'en remet donc à vous afin de voir s'il est encore possible de le sauver ou s'il est définitivement bon pour un formattage complet.

Y'a-t-il quelque chose à tester encore ? Un rapport HijackThis ou autre vous aiderait-il ?

Je viens aussi de penser à un scan au démarrage directement (via un logiciel sur clé USB que j'aurais fait avec UNetBootin) qui permettrait peut-être de supprimer les virus au lieu de les mettre en quarantaine, mais je ne sais pas si ça changera grand chose.

Si vraiment tout est perdu, il faudra qu'ils acceptent le formattage, il n'y aura plus le choix :D.

Voilà voilà, gros pavé, désolé pour ceux qui ont hésité avant de se lancer dans la lecture ^^.

Je vous remercie d'avance pour les réponses que vous allez pouvoir m'apporter, bonnes ou mauvaises et vous souhaite une bonne soirée et une bonne nuit :).

Moonlight-Angel.

Link to post
Share on other sites

de ce que tu me dit, surtout pour la partie ou l'antivirus est déactivé, cela ressemble fortement au virus que j'ai chopé la semaine dernière.

perso formatage obligatoire.

et de toute façon j'ai envie de dire, sur un pc infecté ou pas, si tu as récupéré tes données, un bon formatage ne fait pas de mal et c'est plus sur.

Link to post
Share on other sites

Je suis à 100% d'accord avec vous, mais je préférais éviter au départ le plus possible cette solution qui pose problème au niveau de la famille de mon ami :).

Après, il faudra juste les rassurer un peu sur la manœuvre et leur dire qu'elle est sans risque et bien plus adaptée à leur situation. Cela fait des années que rien n'a été fait, pour exemple, j'ai retrouvé "Encyclopédie Microsoft Encarta 2004" dans les programmes et les dernières mises à jour dates de 2010.

En clair, en plus du formattage, il faudra que je leur explique un peu comment le tenir à jour et comment faire des petits nettoyages hebdomadaires (comme par exemple "Exécuter CCleaner" au lieu de "Vider la corbeille" par exemple, ces petits trucs qui permettent de le maintenir en forme :)).

Je vous remercie en tout cas de l'attention et du temps que vous avez consacré à mon pavé :D.

Je vais dès demain essayer de les convaincre.

Si d'autres veulent appuyer cette solution du formattage, vous pouvez. Si vous avez en revanche une solution "miracle" pour me sauver et sauver ce PC en difficulté, je suis ouvert aussi :).

Link to post
Share on other sites

Alors non désolé pas de formatage. J'ai souvent rencontré ceux là.

Perso, un Malwarebytes à jour et on vire tout. Après je pour ce type de virus il faut remettre la base de registre à jour car des infos ont sautés dont celle de la connection.

Donc soit tu relances les infos dans la base de registre à la mano, soit tu utilises winSockFix (ou lspfix) via clef usb pour remettre tout ça en place.

Voilou. Ne pas oublier de refaire un scan derrière on est jamais assez prudent.

Link to post
Share on other sites

J'ai par contre pas tout saisi ^^.

Pour le cas de Malwarebytes, comme dit au début, il se coupe au bout de 30 secondes et l'installation est bousillée.

Pour le registre, c'est vrai que j'ai pas encore essayé, mais sans Malwarebytes ça va être difficile alors pour la suite :/.

Merci pour ta réponse :).

Edit : Quand tu dis scan à la fin, tu parles d'un scan quoi ? Antivirus ou autre ? :)

Link to post
Share on other sites

Pour éviter un formatage, il faut absolument éradiquer le virus sans booter sur le disque.

En clair, il y a deux solutions :

1) tu bootes sur un périph type CD/DVD ou clé USB et tu désinfectes en employant un antivirus de ce périph

2) tu montes ce disque en save dans un PC réputé sain et protégé par un AV efficace, puis tu désinfecte.

Pour info, la plus part des site antivirus "pro" (gdata, bitdefender, ...), tu peux disposer d'une version d'évaluation : c'est une version complète mais limitée à 30 jours. Ca peut être très bien dans ton cas.

Link to post
Share on other sites

Je n'aime pas faire de la pub pour un produit mais la ca me parait etre une info utile : http://www.sarducd.it/

L'outil fait par Sardu est un outil multiboot pour avoir sur un meme disque / clé USB plusieurs systemes. Sur mon disque dur du boulot j'ai différents systemes de diag, d'antivirus, etc. C'est donc une bonne base à mon sens pour se faire une unité de dépannage.

Link to post
Share on other sites

J'ai par contre pas tout saisi ^^.

Pour le cas de Malwarebytes, comme dit au début, il se coupe au bout de 30 secondes et l'installation est bousillée.

Pour le registre, c'est vrai que j'ai pas encore essayé, mais sans Malwarebytes ça va être difficile alors pour la suite :/.

Merci pour ta réponse :).

Edit : Quand tu dis scan à la fin, tu parles d'un scan quoi ? Antivirus ou autre ? :)

Si malware ne fonctionne pas tente un antivirus en ligne genre http://housecall.trendmicro.com/fr/index.html ou http://www.eset.com/fr/home/products/online-scanner/

Une fois la majorité des saletés mis en quarantaine, tu installes malware et tu relance un scan. antivirus pour retirer vraiment le tout.

Après il te reste juste à faire le ménage et à retirer les antivirus pour n'en garder qu'un seul.

Link to post
Share on other sites

Je vous remercie à tous pour vos réponses très utiles.

Je vais maintenant devoir faire le tri dans tout ça ^^.

Je pense qu'avec tout ce que vous avez dit, je serai tenté par un scan avec un outil sur USB, avant le démarrage. En fait, je ne sais pas si un scan en ligne pourra vraiment être utile vu que les scans actuellement faits n'ont absolument rien changé ^^.

Je procéderai donc ainsi :

  • Scan depuis un utilitaire sur DVD ou USB pour être sûr de pouvoir tout supprimer
  • Utilisation de Winsockfix pour régler ce problème de connexion et pouvoir bien mettre MBAM
  • Scan MBAM (en espérant que cette fois-ci il ne se coupe plus)
  • Dernier scan avec un outil en ligne pour finaliser.

Ça pourrait fonctionner comme cela ?

Link to post
Share on other sites

Si ton post 12 ne fonctionne pas ou si tu n'as pas le courage de le faire :

Déjà que d'essayer d'éradiquer tout ce qui grouille sur ce PC prendrait énormément de temps, je pense qu'un formattage me ferait presque gagner du temps.

Seulement, du côté de chez mon ami, ils ne sont pas tous unanimes et redoutent un peu le formattage complet (compréhensible, ils ont tous leurs souvenirs dessus et même en les sauvegardant, ils hésitent).

Si vraiment tout est perdu, il faudra qu'ils acceptent le formattage, il n'y aura plus le choix :D.

Perso, ils achètent un DD externe ou une clé USB externe xxGo (16/32 si ça suffit), et tu leurs fais sauvegarder les données importantes (emails, photos, videos, etc) en les aidant sur les directory à chercher (Thunderbird, etc). Tu formates, réinstalles les logiciels/drivers adéquats, et fais une image de l'install que tu mets sur la partition externe. Ou tu éduques ton ami en lui indiquant les étapes pour qu'il apprenne et devienne auto-suffisant. Tout ça, c'est pour le coup d'après et la prochaine infection !

Tu as dit si l'OS était XP ou Seven ??

Link to post
Share on other sites

Après avoir testé il n'y a vraiment rien à faire. Le scan n'arrive même pas à se lancer depuis la clé USB. J'ai donc tenté Winsockfix ainsi que LspFix et aucun des deux n'a réussi à remettre la connexion sur pieds. Conclusion : je pense que je vais formater.

PS : je ne l'avait pas précisé effectivement, mais c'est Windows XP.

Link to post
Share on other sites

Question bête as tu essayé d'installer mbam en mode sans echec (F4 je crois) sans connexion ?

Sinon idem pour toi avec la copie de sauvegarde, parce qu'a tout les coups quelques uns vont s'amuser à se dupliquer dessus dès que tu vas brancher quoique se soit dessus. J'ai déja vécu ça.

Link to post
Share on other sites

Tout doucement j'avance.

J'ai gravé Hiren'sBCD sur place et j'ai réussi à lancer un scan Avira depuis Mini Windows XP.

Je suis retourné sur l'XP de la machine et j'ai réussi à lancer MBAM depuis le disque, cette fois-ci il ne se ferme plus.

Je pense avoir bientôt fini, mais le principal problème reste la connexion qui ne veut toujours pas fonctionner.

Des idées ?

Link to post
Share on other sites

Dernière mise à jour je pense.

J'ai essayé toutes les techniques trouvées sur CCM (même celle qui nécessite le CD d'installation) en vain, je crois qu'il n'y a rien à faire.

Je vais donc faire un formatage puisqu'il n'y a plus d'autre solution, ils devront s'y faire :D.

Merci encore à tous pour votre aide :).

Link to post
Share on other sites

Je pense savoir ce que s'est, le truc c'est que sans l'ordi sous les yeux de tête c'est pas facile (je sais que je l'ai noté quelque part je cherche en même temps)

La panne de connexion c'est parce que la couche réseau est infectée (logique me direz vous). Généralement à deux niveaux :

- le fichier host à purger

- un driver d'interception du réseau => on le voit dans le gestionnaire de périphériques en affichant les périphériques cachés

Le driver d'interception peut être plusieurs choses :

- Un reliquat d'un antivirus ou pare feu : le driver et là mais pas le logiciel donc ça circule pas dans le tuyau

- Un virus qui filtre la connexion pour ajouter au flux internet des choses pas sympa

C'est peut être NetBT.sys le nom du truc (mais il me semble que c juste un nom bizarre), un moyen de s'en rendre compte avec le gestionnaire c'est d'ouvrir tous les périphériques cachés (donc logiciels) un par un en regardant la signature électronique, tu devrais en trouver un qui est pas signé Microsoft

Link to post
Share on other sites

Tu as essayé winsockfix ?

Ou alors tu lances une console et tu tapes :

netsh winsock reset catalog

Tu te connecte via cable ou en wifi ? Si c'est en wifi efface là et lance regedit puis

HKEY Local Machine > System > CurrentControlSet > Services > Ndisuio dois avoir la valeur 3 si il a une valeur diffférente le remettre à 3.

Ne surtout pas oublier de désactiver les copies de sauvegarde du disque et de les effacer s'il y en à une.

Link to post
Share on other sites

refuznik : Oui, j'avais tout essayé et je suis connecté en Ethernet. Le PC ayant aussi le Wifi (qui ne fonctionnait plus non plus) j'avais tenté ta méthode aussi, en vain. Tout ce que j'avais trouvé sur CCM, je l'ai testé.

Finalement, j'ai réinstallé Windows XP et tout est rentré dans l'ordre. Il n'avait pas été refait à neuf depuis plus de 6 ans et ça ne lui a fait que du bien ! Il déborde d'énergie et est bien plus rapide. Du tout bon quoi.

Merci encore de votre aide et bonne journée à vous :).

Link to post
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...