Mon PC vient d’attrapper un *%#&"-|%ù§ de virus!!! :grrr:
Windows ne veut plus démarrer, même en mode sans échec et même en bootant avec ultimate :peur:
Le premier effet du virus a été de réinstaller Windows Live Messenger, c’est depuis que j’ai annulé l’installation automatique de WLM que mon ordi ne s’allume plus!
Avant cela j’ai tenté une restauration sans succès.
Origine du problème : J’ai lancé un programme qui était associé à un fichier caché nommé rundll32.dll ptipbmf.dll, enfin un truc dans ce genre : sur l’autre ordi impossible de visualiser ce fichier… (seul le programme en .exe apparait)
Mon curseur est devenu invisible dès que j’ai lancé le programme. Puis tous les ennuis cités plus haut.
Je peux uploader le dit-programme si ça peut être utile.
Merci de l’aide que vous pourrez m’apporter car un formatage me serait très pénible surtout que ça implique la perte de toutes mes données non sauvegardées.
Salut.
Windows ne démarre plus du tout ? Et que se passe-t-il lorsque tu boote sur Ultimat boot CD ? Essaye aussi PEBuilder. Installe-le sur l’autre PC ( celui qui marche ) et compile un CD. Ensuite, fais booter le PC defectueux sur le CD obtenu et tu devrais avoir un environnement Windows allégé qui te permettra de restaurer ton PC, de sauvegarder des fichiers, de supprimer le virus, et même d’aller sur le net.
Donne des nouvelles et bon courage !
Salut.
Non windows ne se lance plus du tout.
Si je fais dernière bonne configuration connue, il bloque sur la page avec le logo win xp, la barre de chargement se fige.
Et si je fais mode sans échec, l’ordi se rallume carrément dès qu’il a chargé les pilotes.
Je vais télécharger PEBuilder, merci du tuyau.
J’ai déjà eu affaire à des virus mais celui là à l’air tenace, j’ai bien peur d’y laisser des plumes cette fois-ci. :peur:
Edité le 17/11/2007 à 16:15
Tu as essayé avec le mode sans échec classique ( c’est à dire sans prise en charge réseau ) ? Pour PEBuilder, je t’avertis déjà qu’il lui faut le CD d’installation de Windows XP, et la gravure peut atteindre 1 heure ( mais c’est 30 minutes pour la plupart des cas ).
C’est possible que tu ais eu affaire à un rootkit. Les plus dangereux sont totalement invisibles et nécessitent un reformatage ( car il faut plusieurs antirootkits pour venir à bout de ces vilaines bestioles, et des fois cela ne suffit pas ! ). Donc soit c’est un virus colossal, soit c’est un rootkit de dangerosité moyenne.
Je garde espoir que tu puisses retrouver ton PC intact.
Merci, je garde aussi espoir même si j’ai la goutte là en ce moment.
J’ai pas tout compris dans le logiciel PEBuilder : faut juste faire compiler en bas, non?
vu que je suis sur un autre ordi je vais pas ajouter des dossiers ou des programmes qui concerne mon 2e PC?
Sinon pour le mode sans échec, c’est bien le classique que j’ai essayé.
Si quelqu’un d’assez fortiche en programmation a l’envie de zieuter le .exe incriminé pour me dire ce qu’il en est, c’est avec grand plaisir que je le lui donnerai.
Prudence tout de même à celui qui s’y risquerait.
Pour ton virus, je veux bien voir à quoi il ressemble. Je te passerai mon e-mail jetable par mp si tu veux.
Et pour le tuto de PEBuilder, tu peux sauter la 2eme partie. Elle n'est pas essentielle, elle apporte juste quelques petits plus.
Ok merci!
Le logiciel a l’air très bien,
j’espère que je trouverai le fichier qui a corrompu ma session windows
et que je pourrai le supprimer grâce a PEBuilder.
J’espère déjà que PEBuilder va fonctionner et que je pourrai sauvegarder mes données dans un premier temps.
Pour le virus, je veux bien que tu jettes un il si t’as le temps et que ca ne te dérange pas.
Si tu cibles le problème ça me permettrai de savoir quels sont les fichiers corrompus et de réparer les dégats.
Je ne m’y connais pas en programmation, mais je suis juste bidouilleur et curieux. Je t’envoie mon mail jetable par mp et je regarde ça sur ma machine virtuelle.
PEBuilder : :super:
J’ai sauvegardé mes données importantes! Ca s’est fait!
J’ai réparé mon registre via la console de recupération en repompant les fichiers d’une sauvegarde de la restauration windows : default, system, security, sam, software.
Du coup le mode sans échec se lance. Mais le mode normal c’est une autre histoire : toujours cette barre de chargement qui se fige…
Maintenant que je peux accéder au mode sans échec il ne me reste plus qu’à trouver ce que m’a fait cette méchante bêbête pour que windows ne veuille plus s’allumer!
Edité le 17/11/2007 à 21:23
J’y crois pas : j’ai effectué une restauration système en partant d’un point de sauvegarde plus ancien (en mode sans echec bien sur), et là miracle : windows est reparti!
je clos pas le topic tout de suite car je vais balancé un hijackthis tout à l’heure : il doit bien me rester une ou deux saloperies.
en tout cas merci à toi Barbier Fou de m’avoir accordé de ton temps!
dis moi si tu trouves quelque chose…
Je balance le log hijackthis d’ici peu, je vais m’occtroyer une pause bien méritée là!
Edité le 17/11/2007 à 21:41
En apparence mon PC semble avoir repris ses couleurs d’origine.
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 20:23:12, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
quelqu’un peut me dire si mon log est clean?
…si c’est le cas je pourrai clore ce topic.
est-ce normal que “RUNDLL32.EXE” soir en majuscules??? ça me parait bizarre! Surtout que le fichier vérolé qui est à l’origine de tous mes précédents soucis s’appelait comme ça!
En tout cas, mon pc a l’air d’être ok depuis la restauration.
Salut.
A part ce petit truc : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) c’est clean. Tu peux aussi fixer ça pour accélérer un peu le démarrage : O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”
Content que tu t’en sois sorti. Garde quand même le CD de PEBuilder, ça sert toujours. Bravo pour le courage et la persévérance dont tu as fais preuve :super:
Un dernier conseil, je te recommande de prendre Antivir à la place d’Avast. Antivir est beaucoup plus efficace et possède une protection heuristique.
Pour ton virus que tu m’as envoyé, je l’ai testé sur ma machine virtuelle. C’est bien un virus, mais, même après un redémarrage, le PC fonctionne normalement ( à part que le virus ouvre grand les portes du PC au pirates, mais Windows démarre bien ). :etonne2:
Voilà le rapport virustotal, pour plus d’info :
Ok, je vais fixé ça de suite!
Je suis extrêmement soulagé en effet : j’ai plein de mails à envoyer demain matin pour du boulot et j’avais pas vraiment prévu un formatage. Merci de m’avoir aider.
Pour la réparation du registre j’ai utilisé cette méthode, bien fastidieuse, mais efficace : http://support.microsoft.com/kb/307545/fr
PEBuilder : testé et approuvé, je garde sous le coude c’est sur!
Et pour Antivir j’avais envisagé de changer pour celui-là, mais je l’ai pas encore fait par flemme. Mais après ces péripéties, je vais peut être bien l’installer! :icon_biggrin:
Tiens c’est bizarre! :etonne2:
C’est peut être la première restauration que j’ai faite qu’il a pas aimé…
Je comprends pas encore vraiment ce qui s’est passé (pourquoi WLM cherchait à se réinstaller par exemple), ni comment je m’en suis sorti, mais l’essentiel est que tout soit rentré dans l’ordre. J’espère juste qu’il reste aucune trace du virus, car à part la restauration du système j’ai rien fait. Je vais peut être faire un scan en ligne, ça serait plus prudent!
Je vais aussi chercher sur google maintenant que je peux mettre un nom à la bêbête (grâce à toi! :super:)
aïe aïe aïe!
C’est bien ce que je craignais, le virus est bien présent sur mon PC, il s’est logé dans des fichiers thunderbird (application data/thunderbird/…/sent/) et system volum information/restore… (bien sur) .
Nom du virus d’après Kaspersky : Trojan-Downloader.Win32.Bagle.ft (c’est bien ça)
Antivir (ca y est je l’ai installé! à défaut de pouvoir chopper AVS, faut bien!) ne m’a rien trouvé. :-(:
Existe-il un patch pour le supprimer?
Je ne trouve rien de probant sur google…
En attendant j’ai supprimé manuellement les fichiers incriminés “sent” et les “restore” concernés… :neutre:
Edité le 19/11/2007 à 01:34
Normalement, Antivir le détecte ( sous un autre nom ) :neutre:
Et, il est aussi dans la base de données de Kaspersky, donc ça devrait aller. Fais attention, si il est dans Thunderbird, il risque d’endommager des mails.
Garde quand même le CD de PEBuilder, ça sert toujours. Bravo pour le courage et la persévérance dont tu as fais preuve :super: