Infection problable par virus ou spyware [Résolu]

[JibéCC]

Bonjour,

je suis confronté à un problème qui me semble venir d'une infrection par virus ou spyware.
Contexte :
- problème sur deux postes d'un reseau,
- domaine W2K,
- OS client : W2K Pro SP4 et à jour pour Update sur site MSoft.

Symptome :
1ères manifestations :
- impossible d'accéder aux ressources partagées du réseau,
ou
- impossible d'ouvir une session en Utilisateur normal (comme habituellemnt) avec message ci-dessous :

Citation:

Le système ne peut pas ouvrir votre session en raison de l'erreur suivante :
La demande n'est pas prise en charge.
Ré-essayer ou apeler l'admin...

Mes constatations suplémentaires :
1) il faut rédemarrer le pose pour ouvrir une session en admistrateur du poste, ça marche aux points près suivants :
- impossible d'accéder au gestionnaire des taches : la fenêtre s'ouvre et se referme tout de suite,
- même chose avec les commande cmd et regedit,
- même chose si je lance le logiciel HijackThis.

2) une incertitude :
je n'ai pas reussi à reproduire exactement le déroulement qui mène à l'impossibilité d'ouverture de session décrite plus haut. Si l'on réussi à ouvrir une session en utilisateur normal, les phénomène du 1) sont aussi présents.

Mes actions (sans succès) :
- passage d'un anti-virus (AVG dernière version free),
- passage de AdAware à jour,
- passage Spybot,
- réinstal de W2K à partir du CD d'origine : utilisation l'option Mise A jour (qui ne fait que remetrre en ordre l'install existante).

Note : les scan ci-dessus ont détecté des choses '"habituelles", je les ai corrigées, mais cela n'a pas résolu le problème présent.

En résumé :
je suis confroté à quelque chose que je ne peux pas détecter par les outils classiques, qui m'enpèche "manuellement" d'laler voir le comportement du système (les processus en route, accéder au registre, par exemple).

Avant que je procède à une réinstallation complète (solution certes radicale mais de dernier ressort), quelqu'un aurrait-il une idée ?

[Jannus]

Essaye le scan en ligne Kaspersky ou McAfee pour éliminer le risque d'un virus qui serait "passé au travers" d'AVG.

[kOrt3x]

Et que dit le log de Hijackthis?
rien de louche?

Sinon, oui un bon de scan online pour être sûr.

[JibéCC]

Merci de vos réponses. Je vais tenter.

Pour kOrt3x : désolé, mais je ne peut pas utiliser Hijackthis, il ne démarre pas (ouverture furtive de la fenêtre !!)

[Jannus]

Ça donne quoi en Mode Sans Echec ?

[kOrt3x]

Citation:

Envoyé par JibéCC

Merci de vos réponses. Je vais tenter.

Pour kOrt3x : désolé, mais je ne peut pas utiliser Hijackthis, il ne démarre pas (ouverture furtive de la fenêtre !!)

humm... ça sent vraiment le virus ça.

[_solo]

hmmmm ca sent le trojan ou rootkit tout ca , essaie un coup de blacklight pour t'en assurer.

ps ca fait bizarre c'est la premiere fois que je lit quelqu'un qui expose aussi bien son probleme

[JibéCC]

Bonjour tou(te)s,

En Mode sans echec tout va bien : je peux accéder au gestionaire de tâches,...
Mais quelle valeur donner aux renseignements : si ça marche c'est que la source des disfonctionnements n'est pas active !!
J'ai tout de même fait un coup de HikackThis et fait analyser le log ici http://www.hijackthis.de/fr.
Rien de significatif.

Merci _solo pour ta remarque : bien s'expliquer facilite sans doute l'obtention d'aide, et c'est aussi un respect envers les personnes qui passe du temps à aider. Le seul risque est parfois d'ête un peut long, mais bon !!!
Je vais essiayer tes conseils.

[kOrt3x]

Teste ça mon amis http://www.zebulon.fr/astuces/tip186...es-taches.html

[JibéCC]

j'ai tenté :
- l'anti-virus en ligne Kaspersky,
- l'astuce de kOrt3x ci-dessus,
- blacklight.
Rien de nouveau.

Par contre blacklight m'a permit d'accéder aux processus lancés sur la machine.
En première analyse rien de suspect.

Je laisse en sommeil le problème pour le week-end.

Lundi je décide si je ré-instal tout ou pas. Je donnerai des nouvelles sur cette discussion.
En tout cas merci à tou(te)s et bon week-end.

[kOrt3x]

Petite question? Windows est a jour?

Sinon, je ne vois que le formatage en dernier recours, mais c'est si vraiment cela te géne.

[JibéCC]

Bonjour tou(te)s,

Comme promis une suite (et fin ?) à notre discussion.

On peut considérer que le problème est résolu, bien que des inconnues existent.

Outil utilisé :
J'ai utilisé l'outil Process Explorer téléchargeable ici http://www.microsoft.com/technet/sys...sExplorer.mspx
(trouvé au hasard de mes recherches dans des forums, j'ai malheureusement oublié où !)
Il remplace avantageusement le gestionnaire des tâches de Windows, ses possibilités on l'air d'être grandes (à aprofondir donc).
Surtout, dans mon cas de figure, il fonctionne malgrès les blocages décrits dans les messages précédents.

Actions :
J'ai trouvé un processus nommé pcedit.exe qui est situé dans le répertoire system32 du sytème.
Il est la cause apparente des problèmes rencontrés ici.
Je l'ai prurement et simplement supprimé (en en gardant une copie), ce qui m'a permis d'accéder normalement au registre.
Une recherche m'a indique qu'il se trouvait dans une vingtaines de clés, dont paticulièrement les clés SOFTWARE\Microsoft\Windows\CurrentVersion\RUN
et
SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICE sous une clé Ms System Config.
et cela dans plusieurs HKEY (CURENT_USER, LOCAL-MACHINE,...).

Je les ai toutes supprimées, redémarré la machine : ça marche,
...mais certaines des clés supprimées réapraraisssent (pas les RUN heureusemement).
Ce dernier cosntat laisse sous-entendre que tout n'est pas résolu, mais je m'en contente .

Encore merci à tou(te)s pour votre aide.

PS : je tiens à disposition de qui le désire la copie du méchant fichier, si quelqu'un se sent une envie et a les compétences que je nai pas pour l'analyser.

[_solo]

Citation:

Envoyé par JibéCC

PS : je tiens à disposition de qui le désire la copie du méchant fichier, si quelqu'un se sent une envie et a les compétences que je nai pas pour l'analyser.

Moi je veux bien ,
je t'envoie mon mail par MP

[_solo]

dsl mais hier j'avais repondu avec precipitations mais

Citation:

Je les ai toutes supprimées, redémarré la machine : ça marche,
...mais certaines des clés supprimées réapraraisssent (pas les RUN heureusemement).
Ce dernier cosntat laisse sous-entendre que tout n'est pas résolu, mais je m'en contente

avec regmon et filemon vous pouvez toujours essayer de suivre l'evolution de la creation des fichiers ( s'il s'en creer et des cles dans la base de registre ) .
Vous pouvez pour le plaisir ou pour le challenge technique essayer d'aller plus loin avec d'autres outils comme blackligth mais en mieux et surtout freeware

voir une liste detailler des detecteurs rootkit/trojan/etc... la http://forum.sysinternals.com/forum_...ist&PN=0&TPN=2
a titre d'information les createurs des outils citer dans la discussion traine sur ce meme forum qu'est celui de sysinternals