Virus qui me fait perdre le contrôle de mon PC

Virus qui me fait perdre le contrôle de mon PC - Virus/Spywares - Windows & Software

Marsh Posté le 24-05-2010 à 12:21:10    

Bonjour,
 
J'avais déjà fait part dans un post précédent ( http://forum.hardware.fr/hfr/Windo [...] 7264_1.htm ) que la Guard d'Antivir ne se lançait pas au démarrage et que cela me semblait suspect. Non seulement cela est de nouveau arrivé mais en plus d'autres évènements plus dérangeant sont intervenus.
 
Voici ceux que j'ai relevé :
 
- Le guard d'antivir ne se lance pas à toutes les sessions et une fois je n'ai même pas pu le réactiver car l'option pour cela n'était pas disponible.
- Il arrive que la touche des majuscules reste bloquée sur les majuscules. Cela a pour conséquence que la molette de ma souris ne me permette que de zommer ou dézoomer des pages mais plus de les parcourir de haut en bas. Suite à ça, il se copie automatiquement des signes incompréhensibles si le curseur est dans une zone de texte et cela débouche au final sur le platage du PC.
- Même après avoir éteint l'ordinateur, il m'est arrivé que le bug soit encore présent avec pour conséquence de pas pouvoir ouvrir de session utilisateur car je ne pouvais pas taper le mot de passe.
 
Ces bugs n'interviennent pas systématiquement mais sont de plus en plus fréquents.
 
La dernière fois cela s'est produit en lançant une recherche de rootkit avec Antivir cette dernière n'ayant pas pu aboutir pour cause de plantage du aux bugs décrits ci-dessus.
 
Etant donné qu'on m'avait dit précédemment que je n'étais pas infecté, je ne sais vraiment pas quoi faire...

Reply

Marsh Posté le 24-05-2010 à 12:21:10   

Reply

Marsh Posté le 24-05-2010 à 13:54:08    

Salut yoyo08,  
 
Je viens d'aller voir ton dernier sujet avec le rapport de ZHPDiag. Effectivement, pas de traces visibles d'une éventuelle infection.
 
On peut toujours faire de nouvelles recherches, pas sur que tes problèmes viennent d'une infection, mais mieux vaut écarter cette hypothèse.
 
Si tu possèdes encore ta version de ZHPdiag, désinstalles la via ajout/Suppression de programme. Une nouvelle version a vu le jour avec plus de fonctions en particulier la recherche d'infection MBR.
 
Je te donne à nouveau la marche à suivre avec le lien de téléchargement de cette nouvelle mouture :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Ensuite, fais ceci :
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
    • Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
J'attends donc les deux rapports demandés. ;)  
 

Reply

Marsh Posté le 24-05-2010 à 15:08:52    

Donc voilà comment j'ai procédé :
 
- Depuis mon compte utilisateur, j'ai télécharger les ZHPDiag et Gmer
 
- Ensuite je suis retourné sur mon compte admin pour désintaller l'ancienne version de ZHPDiag, puis j'ai ensuite installé la nouvelle.
Je lance un scan. Durant celui-ci mon firewall outpost me signale que l'application MBR.exe tente d'accéder à un service. Je vais sur internet pour voir ce qu'est cette application et il apparait que ça serait un rootkit. Je décide alors de sélectionner l'option "block attempts to load drivers". Le scan se termine je sauvegarde le log.
 
- Ensuite, je désactive antivir, installe Gmer, lance le scan, laisse passer au travers de mon firewall toutes les requêtes en provenance de Gmer. Le scan se déroule apparemment normalement jusqu'à ce que je décide de lancer chrome. A ce moment, un écran bleu apparait avec des recommandations dont notamment : ..."un processus ou un thread au fonctionnement du système s'est terminé ou été interrompue de façon innatendu"... Je trouve ce message bizarre car tout le texte ne rentrait pas dans l'écran et certaines phrases semblaient être d'un français approximatif (est-ce un écran windows ou bien un leurre de MBR.exe ? ). D'autre part l'écran bleu s'est affiché juste au lancement de chrome, hasard ou coïncidence ? Toujours est-il que j'ai été contraint d'éteindre le PC à l'interrupteur sans que le scan n'est été fini.  
 
- Je l'ai ensuite rallumé, me suis logué sur ma session utilisateur et là, outpost m'avertit qu'une erreur s'est produite. Je me rappelle d'ailleurs que ce n'est pas la première fois que ce message apparaît. D'ailleurs il n'y a plus de trace du blocage de MBR.exe dans outpost.  
 
Voilà où j'en suis. N'étant pas expert, je préfère demander conseille avant de tenter quoique se soit.

Reply

Marsh Posté le 24-05-2010 à 15:24:05    

Rien d'anormal dans ce que tu me décris.
 
Les outils que je te demande d'exécuter (MBR inclus dans ZHPDiag et Gmer) mettent fin à certains processus, ton firewall et éventuellement ton AV réagissent de ce fait. C'est pour cela qu'en particulier pour Gmer il faut les désactiver.
 
Tu peux donc générer ces deux rapports stp.

Reply

Marsh Posté le 24-05-2010 à 17:26:41    

OK
 
Voici le rapport ZHP (le même que celui présent dans mon précédent message) -> http://www.cijoint.fr/cjlink.php?f [...] bKcwk1.txt
Et le rapport Gmer -> http://www.cijoint.fr/cjlink.php?f [...] nNYgtI.txt

Reply

Marsh Posté le 24-05-2010 à 18:56:14    

Re,
 
Bon écoute, pas de trace d'infection sur tes deux rapports.
 
On va passer un outil qui fait double emploi (diagnostic+désinfection), ça ne coute rien.
 
Il est très important de désactiver (et non de laisser passer) ton pare-feu et ton antivirus, pour laisser l'outil travailler correctement.
 
Tu vas faire ceci :
 
A l'attention de ceux qui passent sur ce sujet  
 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous tes logiciels de protection /!\
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra.envoie moi le lien ci-joint de ce rapport (C:\Combofix.txt) dans ta prochaine réponse.[/list]


Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
Une fois cette opération effectuée :
 
mets à jour malwarebytes et fais un scan en mode rapide simplement. Envoie moi aussi le lien du rapport ci-joint.
 
A plus !
 
 
 

Reply

Marsh Posté le 25-05-2010 à 01:47:55    

Merci,  
 
Je vais faire ça demain et je mettrais le rapport.
 
As-tu une idée de la durée du scan? Plutôt une heure comme Gmer ou quelques secondes comme ZHPDiag?
Si ça se compte en heure, je le ferais en milieu voir fin de journée!

Reply

Marsh Posté le 25-05-2010 à 11:47:27    

J'ai fait les deux scans :
Combofix -> http://www.cijoint.fr/cjlink.php?f [...] 4zXlQe.txt
MBAM -> http://www.cijoint.fr/cjlink.php?f [...] 57YRHJ.txt
 
Je ne sais pas si je suis infecté, quoiqu'il en soit combofix semble avoir amélioré la vitesse au démarrage.

Reply

Marsh Posté le 25-05-2010 à 18:36:01    

Salut,
 

Citation :

Je ne sais pas si je suis infecté, quoiqu'il en soit combofix semble avoir amélioré la vitesse au démarrage.


 
Combofix a supprimé un service infectieux qui est peut être responsable de tes déboires à voir dans le temps...
Je te conseil "par sécurité" de changer tous les mots de passe que tu utilises pour internet, en particulier vers ta banque.
 
Peux tu générer un nouveau rapport avec ZHPDiag, il suffit de refaire la procédure qu j'ai donné plus haut sans le téléchargement, merci de m'envoyer le lien ci-joint de ce nouveau rapport.

Reply

Marsh Posté le 25-05-2010 à 23:33:01    

La mauvaise nouvelle c'est que le "bug" s'est reproduit ce soir.  
 
Sans aucune raison et soudainement (j'ai utilisé mon PC toute la journée sans problème), ma molette ne peut plus scroller mais juste zoomer sur les pages internet et traitements de texte. La touche MAJ reste bloquée (ce n'est pas un blocage mécanique, juste la l'indicateur lumineux allumé) mais j'ai réussi à la débloquer cette fois-ci (lumière de la touche éteinte). Le fait de la débloquer ne résout pas le problème de la molette. Je n'ai pas vu cette fois-ci de texte étrange se copier coller tout seul en revanche dès que j'ouvre le gestionnaire de tâche, tous les indicateurs sont freezés, puis ça repart puis ça refreeze. Je n'ai jamais vu ça auparavant.
 
Voici le fichier ZHPDiag effectué après le constat de l'anomalie : http://www.cijoint.fr/cjlink.php?f [...] lv3IcW.txt
 

Reply

Marsh Posté le 25-05-2010 à 23:33:01   

Reply

Marsh Posté le 27-05-2010 à 11:24:17    

Faut-il que j'effectue un nouveau scan avec combofix au cas où le service ce serait réinstaller depuis ?

Reply

Marsh Posté le 27-05-2010 à 22:35:06    

Salut,
 
Désolé pour le délai de réponse, mais j'ai peu de temps en ce moment. :(  
 
Ce n'est pas la peine de lancer à nouveau combofix.
 
Pour moi ton problème n'est pas du à une infection, mais à un problème matériel.
 
Je te propose de désinstaller les programmes spécifiques que je t'ai fait utiliser comme ceci :
 

  • lances ZHPFix, tu trouveras son icône sur ton bureau
  • cliques sur le A majuscule rouge et laisse travailler l'outil.


Pour désinstaller combofix :
 

  • appuies simultanément sur les touches windows + R
  • dans la fenêtre "Exécuter qui s'affiche" tapes ou copies/colles cette ligne de commande :


combofix /uninstall  
 
Combofix va se lancer à nouveau mais pour se désinstaller laisse le travailler.
 
Ton ordinateur est à jour, continue à le maintenir ainsi.
 
Je te conseil de te rendre sur le forum prévu pour ton type de problème => ICI, précise dans ton topic que ton ordinateur n'est pas infecté.
 
Je te souhaite une bonne fin de semaine.

Reply

Marsh Posté le 28-05-2010 à 17:02:58    

Merci pour ton aide.

 

Je voulais m'assurer que ces dysfonctionnements n'étaient pas du à une infection.

 

Le problème matériel? Si c'est la seule réponse pourquoi pas, c'est vrai que mon PC commence à dater mais le lien de cause à effet n'est pas évident.

 

Si le problème reviens (depuis la dernière fois ya pas un de souci) et que ça deviens vraiment dérangeant, j'irais poster dans le forum matériel.

 

Merci encore !


Message édité par yoyo08 le 28-05-2010 à 17:03:59
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed