Oxygène PC

de **Arminius** » Lun 22 Déc 2008 11:45

Bonjour,

Voci ce qui est arrivé sur mon laptop HP dv9000 avec XP

1) J'avais le trojan "virtumonde" que je n'avais pas réussi à supprimer avec spybot. Il a été supprimé grâce à combofix.

2) J'ai ensuite téléchargé le sp3 pack de windows et un update de java

3) Dès lors j'ai eu les problème suivant:

alors que je ne faisais rien de particulier (simple discussion msn), l'ordinateur s'est mis à sérieusement bloquer. J'ai donc utilisé le remède miracle, appuyer sur le bouton démarrage pendant 5 secondes. Et j'espérais que tout redémarre parfaitement.
Rien ne fut le cas.
Déjà j'ai remarqué que pendant 1sec au démarrage on m'offrait la possibilité de choisir entre Windows XP Media Center (mon OS) ou HPRecovery (partition de recouvrement que j'ai faite à l'achat de l'ordi), ce que je n'avais pas avant (alors je ne me souviens pas si c'est depuis avoir installé SP3 ou depuis avoir crashé le PC).

Ensuite le bootscreen s'affiche... et reste là pendant bien 3-5 minutes, au lieu des 5-10 secondes habituelles.
Finalement j'arrive dans le login, je fais un login, et là de nouveau je dois attendre 5 minutes pour que tout se charge. Là, de nouveau des erreurs, apparemment des dll qui manquent (p.ex. snc.exe n'a pû démarrer car wpsman.dll est introuvable). Cet exe spécifique appartient à sygate, qui ne démarre effectivement plus.

Et puis les malheurs continuent. Lorsque je clique avec la souris sur un icone, ou sur un bouton, la réaction se fait attendre facilement 1-3 minutes.

Je consulte le task manager (de nouveau, une belle attente). Là, 0-1% d'utilisation du CPU et à peine de consommation de RAM! Là, je me poses de sérieuses questions.

J'éteins l'ordi, et j'essaye en mode sans échec. Tout aussi dramatique (avec l'écran déformé en plus). Là je rédémarre en mode normal, et je tentes un scan avec Spybot S&D. Je le laisse tourner toute la journée, et à mon retour, à peine la moitié du scan fini. Je commence donc à désespérer. J'arrête donc tout et je tente une restauration du système. Résultat:

J'arrive dans le menu de restauration, mais au moment où on me demande de choisir quelle date de restauration, je cliques sur une date en "gros", rien ne se passe, pas de réaction pendant 2,3,5,10 minutes. J'essaye de changer de mois pour voir, pas de réaction non-plus (mais pas de bloquage non-plus).

4) Ce que j'ai fait et problèmes restants:

Vu qu'une des erreurs au démarrage était l'impossibilité de charger Sygate à cause d'une erreur avec wpsman.dll, ainsi qu'un autre programme HP, j'ai tenté une réinstallation de Sygate. Celle-ci s'est soldée par un échec pour une seule raison, impossibilité de supprimer wpsman.dll. J'ai donc tenté manuellement. Là, l'ordi se freeze pour 30 secondes avant de m'indiquer que c'est impossible pour une erreur de péripherique E\S. J'ai donc tenté par le cmd, une fois par supression simple et une fois par supression \F. Même résultat.
J'ai ensuite utilisé TuneUp Résolution de problèmes en 1-Click. Résultat, plusieurs milliers de problèmes on été trouvés (sauf dans l'intégrité du disque qui semblait bonne). Ils ont été "résolus" par le programme. Tout "semblait" fonctionner plus rapidement, mais je n'osais pas fermer l'ordinateur avant d'avoir résolu le problème Sygate, je l'ai donc laissé ouvert pendant la nuit. Apparemment, un update automatique de windows s'est de nouveau effectué. Et lorsque j'ai ouvert ma session, de nouveau, les mêmes problèmes. J'ai retenté avec TuneUp manager, plus que 200 erreurs à "fixer", ce que j'ai de noveau fait, mais, aucune amélioration. Avec KillBox j'ai tenté de supprimer wpsman.dll, mais là bloquage absolut et complet. J'ai donc tenté la solution du 5 secondes sur le bouton démarrage, qui a bien sûr fonctionnée. Mais au démarrage, aucune amélioration.

J'ai donc supprimé l'execution au démarrage de Sygate par Tuneup. Donc ça ne freeze plus au démarrage, mais le problème n'est pas résolu si j'essaye de supprimer le dll.

J'ai également un mesage d'erreur "Error 1304.Error writing to file c:\Program files\HP\Digital imaging\bin\hpqxml.dll. verufy that you have access to that directory"

Je ne sais pas si ça peut aider, mais en bootant avec un live USB de linux, aucun problème (enfin quand je vais voir dans le folder Sygate/SPF/ ça ne m'affiche rien après avoir chargé un bon bout de temps (mais linux au moins ne se freeze pas).

Fin du roman.

Merci de votre aide car je n'arrive vraiment pas à m'en sortir.

A bientôt.

de **Sév** » Lun 22 Déc 2008 13:38

Bonjour actus,

Bon on reprend point par point, parce que ce n'est pas simple tout ça.

La première des "bêtises" commises a été d'installer un Service Pack sur un système pas franchement sain. Ca ne peut que générer des erreurs. Vundo ne part pas comme ça, et même si Combofix a nettoyé, il faut toujours s'assurer avec l'aide d'une personne compétente qu'il n'y a plus rien. Je suppose que tu n'as pas dû créér de script tout seul, et que seul un scan Combofix a été fait... Si au contraire, tu as eu l'aide de quelqu'un sur un forum, je voudrai que tu postes le lien du sujet où la machine a été désinfectée.

Autre erreur et "idée reçue' Spybot n'est pas un foudre de guerre, il est incapable de nettoyer complètement une infection, surtout aussi coriace que Vundo. De plus c'est un outil qui utilise beaucoup de ressources système lors de ses scans et j'ai déjà vu des machines complètement plantées (cause matérielle) suite à son utilisation.

Et enfin, mais pas des moindres, un shut down au bouton est très mauvais pour la machine. Lorsque tu fais cela, cela équivaut à une coupure de courant, tu mets ta machine en danger. Clairement, non seulement ce n'est pas bon pour le système d'exploitation qui ne peut pas enregistrer les paramètres lors de la fermeture de l'OS, mais en plus c'est très mauvais pour les composants matériels. Donc stop, à ne faire lorsque vraiment il n'y plus d'issue possible et lorsque tu le fais, éteins le bouton d'alimentation pour décharger l'alim de toute électricité statique.

L'installation d'un SP (Service Pack) refond complètement le noyau du système, et peut en effet créer des problèmes, si celle ci ne se déroule pas bien, ou si trop de drivers de logiciels/matériels tiers à Windows ne sont pas updatés. C'est probablement ce qu'il se passe sur ta machine d'après les symptômes.

Pour information, le fait que la machine fonctionne normalement sous Linux, est tout à fait normal, puisque c'est Windows qui est malade. Ce qui est plutôt rassurant, c'est que cela exclut donc la panne matérielle.

D'après ce que tu expliques, il semble y avoir un confit avec Sygate et la mise à jour de Windows et je pense que tes manips désespérées n'ont rien dû arranger.

On peut essayer de réparer, mais je te conseille fortement de sauvegarder tes données personnelles (à faire à partir du live CD Linux) avant de tenter quoique ce soit. Comme je te l'ai dit, un SP modifie considérablement le système, et comme celui ci est défaillant, on ne peut pas prévoir ce qu'il va se passer.

Dans un premier temps je vais te demander deux rapports afin de voir ce qu'il se passe au niveau du système. Ensuite on tentera une désinstallation du SP3 pour remettre tout ça d'équerre et nettoyer, s'il y a lieu, les infections restantes. Puis on réinstallera le SP3 en prenant soin d'éliminer toutes les causes pouvant faire échouer la mise à jour. :wink:

On procède dans l'ordre :

Télécharge DiagHelp de Malekal_Morte et extrais le contenu de l'archive sur ton bureau,
- Ouvre le dossier DiagHelp, à l'intérieur tu vas voir plusieurs fichiers, celui qui nous intéresse s'appelle Go.cmd (ou Go c'est selon).
- Double clique dessus pour l'exécuter, une fenêtre va s'ouvrir : choisis l'option 1
- Le scan qui va s'effectuer peut durer plusieurs minutes,
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
  Poste le rapport sur ta prochaine réponse, ce dernier se trouve sur C:\resultat.txt
Poste-moi le dernier rapport Combofix que tu avais obtenu avant l'installation du SP3, et un log HijackThis.

++

de **Arminius** » Lun 22 Déc 2008 15:30

Merci pour ta réponse si rapide!

Spoiler Show

Voici le rapport.

En effet, j'avais été sur informatruc.
http://www.informatruc.com/forum/topic28553.html (on remarquera ma légère euphorie quand Spybot S&D n'avait rien retrouvé au deuxième scan :oops:

) Je n'ai donc rien fait d'autre à part lancer ComboFix :non:

(Je ne sais pas si ça a à avoir qqch, mais il y avait aussi depuis bien 2 semaines un problème avec "OpenMG Secure Module". Chaque fois que j'accédais un folder qui n'avait pourtant rien de particulier.)

DiagHelp:

(Note, comme tu l'as demandé, je ne mets ici que ce rapport, le programme m'avait proposé d'autres fichiers à envoyer (.tar.gz etc...)

Spoiler Show

Ca me rassure que tu me dises que le matériel n'a rien, car j'avais lu sur certains sites qu'une erreur de périphérique E\S signifiait un disque dur qui allait lâcher. :larme:

Je vais tenter de sauvgarder mes données quelque part. Faut-il faire une image (iso) de mon disque dur (pour ne pas garder que les documents)? Si oui comment?

Encore merci!

P.S.: Je pense que mon infection pricipale était un virtumonde, qui avait installé aussi un smitfraud et d'autres.

de **nono54** » Lun 22 Déc 2008 19:35

bonjour a toi
alors le rapport combofix avait nettoyer une partie mais il restait du boulot sur la planche .
des details mais a faire par securité,on t"expliquera comment te proteger apres tout ca ;-)

.

pour OpenMG Secure Module ,il y a la solution de desinstaller le kit sony de ton telephone portable et de le resinstaller.

voila je laisse Sév te faire la suite de la desinfection
a+ :humpf:

de **Sév** » Lun 22 Déc 2008 20:18

Yop,

Merci Nono pour ton intervention. :wink:

actus a écrit:En effet, j'avais été sur informatruc.
http://www.informatruc.com/forum/topic28553.html (on remarquera ma légère euphorie quand Spybot S&D n'avait rien retrouvé au deuxième scan ) Je n'ai donc rien fait d'autre à part lancer ComboFix

Ok, j'avais vu ce sujet, mais je ne savais pas que actus se cachait sous Arminius. Et je comprends mieux pourquoi ton premier post me disait quelque chose puisque tu as posté la même chose ici. Et c'est toi aussi qui as ouvert un sujet sur AssistePC. Juste un truc à savoir, ne multiplie pas les demandes d'aide sur les forums, tu risques plus d'aggraver les choses que de trouver des solutions et ça fait perdre du temps à tout le monde. ;-)

Ceci étant dit, on a beaucoup de travail pour remettre ta machine d'applomb et sans garantie de résultat. Il vaut mieux assurer tes arrières en mettant déjà les données à l'abri. Avec le live CD Linux, tu as accès à tous tes fichiers sous Windows, tu peux les copier, les déplacer etc... Je te suggère de mettre tes données persos (documents, emails, etc...) sur un disque dur externe ou une clé usb si la capacité est suffisante, depuis le live CD Linux. Tu peux ouvrir le Poste de Travail, comme sous Windows et récupérer ainsi tes dossiers.

Ca me rassure que tu me dises que le matériel n'a rien, car j'avais lu sur certains sites qu'une erreur de périphérique E\S signifiait un disque dur qui allait lâcher.

Disons que tout va bien, jusqu'à preuve du contraire. Les "freezes" que tu évoques font plus penser à un conflit logiciel que matériel (encore que, les drivers nécessaires au fonctionnement du matériel peuvent mettre une belle pagaille, mais c'est une autre histoire) ce qui est confirmé par le fait que tout va bien sous Linux. Si tu as des doutes sur la santé de ton disque, on pourra toujours faire un chkdsk pour vérifier quand on aura corrigé toutes les erreurs du système.

Juste une question : Pourquoi y avait-il un CD XP Pro SP2 dans ton lecteur lors de l'utilisation de Combofix ?

Tu t'en es servi ? Et si oui pourquoi faire ?

Je pense qu'on va procéder de la façon suivante :

- Désactivation de toutes les entrées de démarrage,
- Désinstallation du SP3,
- Nettoyage des saletés restantes,
- Réinstallation si nécessaire des logiciels défaillants,
- Réinstallation du SP3,
- Brûler un cierge.

Pour l'instant, mets tes données à l'abri et quand ce sera fait, poste le log HijackThis que tu as oublié, on attaquera après ça.

de **Arminius** » Mar 23 Déc 2008 00:08

Spoiler Show

Voilà le rapport.

Pour le disque dur externe, (ou la clef USB, que j'ai déjà connectée depuis l'incident virus), il n'y a-t-il pas le risque que je transfers le virus (trojan) dessus?

A partir du prochain post, c'est Arminius, et pas Actus, voir MP ;-)

.

de **Sév** » Mar 23 Déc 2008 23:41

Bonsoir Arminius ^^

Pour le disque dur externe, (ou la clef USB, que j'ai déjà connectée depuis l'incident virus), il n'y a-t-il pas le risque que je transfers le virus (trojan) dessus?

Non pas de problèmes si ce sont des données cleans (pas de cracks, de fichiers exécutables, de mp3/medias téléchargés via P2P...).

Tu n'as pas répondu à ma question :

Pourquoi y avait-il un CD XP Pro SP2 dans ton lecteur lors de l'utilisation de Combofix ?

Il reste des traces de Panda, et mal placées, on s'occupera de ça plus tard.

On va désactiver les services, de ce qui est superflu pour commencer, pour les empêcher de se lancer au prochain démarrage.

Fais Démarrer /Exécuter et tape services.msc à l'invite de commandes, la console des services va apparaître avec la liste de tous les services existants,
Tu vas chercher les services que je t'indique plus bas, double cliquer sur la ligne, puis cliquer sur "Arrêter", puis placer le type de démarrage sur "Manuel" pour les désactiver et enfin cliquer sur "Appliquer"
- AddFiltr
- Adobe LM Service
- Bonjour Service
- FLEXnet Licensing Service
- HoudiniLicenseServer
- hpqwmiex
- Java Quick Starter
- McciCMService
- NMIndexingService
- MSCSPTISRV
- PACSPTISVR
- PnkBstrA
- Sygate Personal Firewall (SmcService)
- Sony SPTI Service
- TuneUp Drive Defrag Service
- TuneUp Program Statistics Service
- wampapache
- wampmysqld
Ferme la console des services,
Désactive (définitivement) le TeaTimer de Spybot-S&D > Mode avancé > Outils > Résident : décoche la case située devant TeaTimer > Ferme Spybot-S&D
Fais Démarrer/Exécuter -> tape MsConfig
Dans l'onglet Démarrage, décoche toutes les lignes et fais Appliquer.
Windows va te demander si tu veux redémarrer, accepte.
Au redémarrage suivant, une fenêtre MsConfig va s'ouvrir -> Coche la case et valide.
Dans Ajout/Suppression de Programmes, désinstalle :
- Sygate (si présent)
- Sony
- le Service Pack 3
Redémarre et dis moi ce que ça donne avec un nouveau log HijackThis + Diaghelp

On fait une pause, et on regarde comment ça se passe. Ne touche à rien d'autre.

de **Arminius** » Mer 24 Déc 2008 15:42

Désolé de ne pas avoir répondu à ta question :oops:

Non, car je n'ai pas le CD de windows XP. J'ai acheté mon ordinateur chez Darty, et il ne me l'ont pas fourni. XP était "préinstallé" sur le portable. Au premier démarrage, ça a fait le setup final, et voilà.
Euh n'est-ce pas normal? Devraient-ils être capable de me fournir un CD windows XP?

Je vais faire un backup ce soir, et je tentrai ce que tu m'as dit. Merci

(P.S.: Panda, c'est un virus? Et pour Sony, j'avais déjà tenté de désintaller. J'avais réussi à désintaller une application Sony, pour l'autre je cliquais dessus mais rien ne se passait. Comment retirer les programmes qui ne se laissent pas retirer dans Add/Remove Programs?)

de **Sév** » Mer 24 Déc 2008 16:47

Bonjour,

Arminius a écrit:Désolé de ne pas avoir répondu à ta question
Non, car je n'ai pas le CD de windows XP. J'ai acheté mon ordinateur chez Darty, et il ne me l'ont pas fourni. XP était "préinstallé" sur le portable. Au premier démarrage, ça a fait le setup final, et voilà.
Euh n'est-ce pas normal? Devraient-ils être capable de me fournir un CD windows XP?

Attends du calme :lol:

C'est normal qu'aucun CD ne t'ait été livré, car tu as une partition de preload sur ta machine. Ce dont tu as parlé plus haut d'ailleurs :

on m'offrait la possibilité de choisir entre Windows XP Media Center (mon OS) ou HPRecovery (partition de recouvrement que j'ai faite à l'achat de l'ordi)

C'est ce qui te permet de réinstaller XP en cas de plantage.
Ma question se réfère au rapport de Combofix, où il y a écrit ceci, juste avant le boot.ini :

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

Tu es sûr de n'avoir laissé aucun CD dans le lecteur durant le scan Combofix ?
Tu n'as pas de lecteur virtuel non plus ?

(P.S.: Panda, c'est un virus?

Non c'est plutôt l'inverse. ;)

Et pour Sony, j'avais déjà tenté de désintaller. J'avais réussi à désintaller une application Sony, pour l'autre je cliquais dessus mais rien ne se passait. Comment retirer les programmes qui ne se laissent pas retirer dans Add/Remove Programs?)

Pour le moment fais ce que tu peux, et liste-moi sur ta prochaine réponse les difficultés rencontrées, on les règlera après.

Bonnes fêtes.

++

de **Arminius** » Jeu 25 Déc 2008 23:29

Pour répondre (enfin correctement) à ta question. Non, je suis à 99,999% sûr qu'il n'y avait ni CD, ni de lecteur virtuel non-plus car Deamon tools ne s'ouvre que sur demande. Backup de mes données fait.

Je ne peux pas te fournir plus d'éléments pour la simple raison que je dois mettre cette "réparation" en parenthèse. Raison: "sérieux" problèmes de Hardware.

Pour vous faire profiter de ma petite histoire de Noël, la voilà:

J'ai acheté mon ordinateur portable (HP Pavillon DV9000) il y a 2 ans, quasiment jour pour jour chez Darty. Après 9 mois à peu près, l'écran à commencé à ne plus "tenir en place", c'est à dire se balancer de quelques mm, puis plus, en appliquant à peine de le force.
Quand c'est devenu plus important, après environs 10 mois, j'ai donné l'ordinateur en réparation, après une longue discussion avec un service après-vente très rétissant (qui osait affirmer que je jetais par terre mon ordi). Après un (trop long à mon goût) délais d'attente, je l'ai reçu en retour, réparé (il n'avaient pas entièrement changé l'écran, mais réussi à stabilisé l'écran, en changeant la partie arrière de la coque de l'écran).

Un mois après la fin de la garantie (qui avait étendue d'un mois), de nouveau les mêmes problèmes réapparaissent, et s'agravent. Or, je n'oses plus aller réclamer sans la garantie. Il s'agit certes d'un désagrément, mais disons supportable. Et voilà ce matin en ouvrant l'ordi, j'entends un grand craaaaaaaaaaaaaaaaaac. Le mal est fait. Une charnière est brisée, alors que je n'ai qu'ouvert l'ordinateur. L'écran fonctionne toujours, mais là, le désagrément devient insupportable. Et aussi incompréhensible. Le métal est cassé, c'est incroyable!!!

Euh voilà, joyeux nöel à vous tous. :larme:

P.S.: Même hors garantie, je trouves que c'est inacceptable, c'est pourquoi je vais me plaindre demain chez Darty en plaidant le défaut de fabrication, en espérant qu'on me remplace l'écran. Si qqn connaît un employé HP qui pourrait m'expliquer ça, je suis preneur. Me le réparer sans frais, encore plus ;-)

.
Enfin voilà quoi. Expériences semblables dans le passé déjà??
Explications???

de **Sév** » Ven 26 Déc 2008 08:51

Bonjour,

Effectivement pas de chance, mais tu n'aurais pas dû attendre si longtemps et faire fonctionner la garantie dès le début des symptômes. :larme:

Il y a peut être moyen de t'en sortir, mais il va falloir insister auprès de HP (je pense que Darty ne peut rien pour toi). Le modèle de ton portable est justement sujet à problème chez HP qui a octroyé une extension de garantie constructeur si le client la demande mais qui n'a rien à voir avec ton problème de charnière -> Voir ici.

Pour info, tu n'es pas le seul à connaître ce genre de déboires avec ce modèle :
http://www.commentcamarche.net/forum/af ... on-dv-9000
http://forum.hardware.fr/hfr/Hardware/M ... 7049_1.htm

Et il y en a d'autres, si tu fais une petite recherche sur Google...

Appelle les et insiste. ;)

de **Arminius** » Ven 26 Déc 2008 10:03

Merci pour le conseil Sév.
La première fois où les problèmes se sont présentés, l'ordi était sous garantie.
La deuxième fois, ils ont commencés 1 mois après la fin de la garantie. Il n'était donc plus sous garantie à ce moment-là. ;-)

Je vais tout tenter pour arranger ça. J'espères avoir de la chance. Encore merci à toi!

de **Sév** » Ven 26 Déc 2008 10:10

Regarde sur ce post, comme quoi rien n'est perdu.

Bonne chance et tiens nous au courant. ;)

de **Arminius** » Lun 29 Déc 2008 19:41

Après une couurte abscence... reprenons... et les nouvelles ne sont pas brillantes...

Je vais devoir avouer une petite bêtise... ne pouvant pas attendre la réparation de mon écran (j'attends toujours une réponse à mon fax). Voilà donc l'histoire.

En fait j'ai été un peu impatient et j'ai cru bien faire et j'ai utilisé la commande d'analyse de disque dans le cmd. Au redémarrage l'analyse du disque à bien été faite (elle me faisait une liste de tous les "segments" de disque illisible. En redémarrant l'ordi ensuite, j'ai constaté qu'il marchait bien mieux et sans bloquages... mais anti-vir (guard) s'est manifesté m'indiqué qu'un "mondo". Le scan spybot a révélé un nombre important de cookies espions et un autre trojan.

Et euhm quand j'ai éteint l'ordinateur, au redémarrage, l'ordi avait refait un de ces scans disque dur pourtant je croyais que ce n'était qu'une fois et maintenant chaque fois que le bootscreen est passé, j'ai un blue screen of death J'arrives à peine à lire ce qu'il y a écrit dessus, et puis, redémarrage automatique, de nouveau la même histoire, belle boucle quoi...

J'avais utilisé un petit truc pour lire ce que le "trop bref" blue screen of death me disait... filmer avec l'appareil photo et visionner sur un ordi sain :lol:

c000021a {Erreur système irrécupérable} Le processus système Windows Logon Process s'est trminé de façon inattendue. l'état 0xc0000020 ( etc...

Donc voilà quoi... :oops:

de **Arminius** » Lun 29 Déc 2008 20:49

A la demande de Sév je mets une belle capture d'écran de la video :-D

Oxygène PC

[Résolu] Gros problème sur Laptop HP

[Résolu] Gros problème sur Laptop HP

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Re: Virus? Mais gros problème

Qui est en ligne