[Résolu] trojan system 32\\00006a93 "delayed write failed"

Concerne vos problèmes de virus, troyens, rootkit, pages publicitaires. Analyse de votre PC et éradication de virus.
Seules les personnes habilitées par l'administration peuvent aider et participer aux réponses dans ce forum.

Modérateur: Modérateur

Règles du forum
.
Merci de consulter la charte du forum avant de poster.
Rappel : Le langage SMS n'est pas toléré sur ce forum. Les demandes d'aide écrites en SMS ou formulées dans un français trop approximatif ne seront pas traitées.

Seuls MoJac, Marie, Pierre13, TopXM, chantal11, tomtom95 et jjcojax sont autorisés à répondre sur ce forum.

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 20 Nov 2011, 19:29

ok je referais un essai sur virus total tout à l'heure

Difficulté pour GMER: impossible de cocher les case a droite, il faut attendre longtemps pour le premier scan des emplacements les plus frequents? ca fait 15 min...

Image
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Publicité

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 20 Nov 2011, 19:57

Re:

Mouais à mon avis c'est planté ..; :|))

- Et en mode sans échec pareil ?

- As tu un graveur de CD/DVD sur ta machine ?

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 20 Nov 2011, 20:21

idem en mode sans echec...

oui j'ai un lecteur cd graveur sur mon pc mais plus de cd sous la main
il s'agit d'un pb grave? lié à l'infection? l'ordi fonctionne pas trop mal pourtant?
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 20 Nov 2011, 20:44

re:
il s'agit d'un pb grave? lié à l'infection?


- Je ne sais pas encore si c'est grave. Je ne sais pas non plus si il s'agit d'une infection ...

- Je voudrais être sûr que ta machine même avec un fonctionnement bancal n'est pas dangereuse (pour les autres par exemple si tu es intégré dans un botnet) et pour toi par la même occasion.

l'ordi fonctionne pas trop mal pourtant?


- C'est bien là ce qui me dérange (si j'ose dire^^); Je ne voudrais pas faire de l'acharnement thérapeutique sur une machine qui n'est "que" en vrac ...
- Avoue quand même que l'impossibilité de passer le moindre outil un tant soit peu élaboré qui farfouille les entrailles du système est assez troublant.
- Je vais faire un bout de tuto pour te faire passer un outil qui surveille tes connexions externes histoire de vérifier si ta machine ne communique pas en tache de fond avec un centre de contrôle/commande en Ukraine ou je ne sais où ...
- Si c'est calme de ce coté là, une solution sera de vivre avec en attendant de remettre tout ça d'aplomb en décidant un jour de revenir à la configuration d'usine .... et tout réinstaller :compr:

Je te prépare ça pour demain.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 20 Nov 2011, 20:53

je suis assez d'accord, on fera peut être plus de mal en s'acharnant...
il est vrai que le non fonctionnement de tous tes programmes m'interpellent. Mais si la machine tourne.. peut être faut il s'abstenir d'aller plus loin pour le moment???
Merci d'avoir pris du temps pour m'aider c'est vraiment sympa

A demain
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 21 Nov 2011, 10:31

Bonjour dockarabine,

Mais si la machine tourne.. peut être faut il s'abstenir d'aller plus loin pour le moment???


- Certe. Rassure toi je ne cherche pas de boulot ^^, mon seul soucis est de ne pas te laisser avec une machine pilotée par quelqu'un d'autre que toi - avec les conséquences facheuses que cela pourrait avoir.

- Je te propose de faire 2 observations (en espérant que ça fonctionne ...) :

:ss) Télécharge TCPView de Mark Russinovich

  • Dézippe le fichier sur ton bureau (ce sera plus simple à utiliser)
  • Clic droit et lancement en admin.
  • Là il faut s'armer de patience car il faut observer dans les colonnes "Remote adress et remote port"

    Image
  • 1) Vérifier si tu as des adresses sous forme IP (càd une série de chiffres séparés par des ".") face a ton navigateur.
  • Même chose face à "svchost.exe"
  • 2) Sans navigateur d'ouvert (ni FFox ni IE) ... même observation.
  • Idem fac à svchost ou tout autre process ...

- Voilà, j'ai conscience que c'est un peu surprenant comme manip.

- Fais des copies d'écran si nécessaire.

- N'hésite pas à montrer tout truc qui te semble bizarre ...

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 22 Nov 2011, 21:18

Bonsoir Mojac,
ok j'ai compris le principe. J'ai mis des captures d'ecran sans et avec chaque navigateur. A priori, il me semble qu'il a des adresses IP dans les colonnes que tu mentionnes sauf quand il n'y a pas de navigateur en fonctionnement
Image
Image
Image
Image
Image

Sur la manip avec mozilla en fonctionnement, les "endpoint" etait au nombre de 110, le temps de faire les captures le chiffre etait tombé a une cinquantaine, ceux sont les adresses IP en face du navigateur Mozilla qui se sont fermées les unes après les autres..
est ce mauvais signe?

A+
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 23 Nov 2011, 15:19

Bonjour dockarabine,

A priori, il me semble qu'il a des adresses IP dans les colonnes que tu mentionnes sauf quand il n'y a pas de navigateur en fonctionnement


- La présence d'une adresse IP ne veut pas obligatoirement dire qu'elle est anormale.

- Il est toujours impressionnant de voir le nombre de connexions en service sur une machine, pour des raisons plus ou moins "normales": entre les suivis de Google, de Microsoft et les logiciels qui recherchent des mises à jour c'est parfois inquiétant de se sentir observé de cette manière. Mais bon, il y a une énorme différence entre ce suivi plus ou moins accepté en connaissance de cause et une activité frauduleuse de pilotage à distance de ta machine.

- Dans l'état actuel des observations, je ne vois pas d'adresse IP frauduleuse ou blackistée ...

- Le fait que hors navigation il n'y ai pas d'activité IP externe est plutôt bon signe. Etre membre d'un botnet signifie une activité réseau permanente avec ou sans navigateur

- Donc je te propose de continuer de vérifier ce qui se passe en particulier vérifier si il n'y a pas de zone d'adresses comprise entre:

85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255

- Tu peux aussi regarder par toi même à quoi correspond une nouvelle IP qui apparaitrait dans le panorama:
Par exemple ici:
http://www.ip-adress.com/reverse_ip/

ou en tapant directement l'adresse dans la zone de recherche de Google ...
- Pour le moment on reste dans l'hypothèse que la machine a un dysfonctionnement interne, mais n'est pas infectée ...

- Je te propose donc de tenter une vérification (et éventuellement réparation) des fichiers systèmes principaux de ta machine:

http://www.vista-xp.fr/forum/topic346.html

- Étudie ça au calme et dis nous ce qui se passe.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 26 Nov 2011, 16:12

Bonjour Mojac,

alors a priori pas d'adresse IP ressemblant à celles que tu as mentionnées

Pour la vérification de vista, il a montré des fichiers endommagés.
J'ai donc executé sfc/scannow pour la réparation. Voici les fichiers SFC correspondants

A priori il a pu réparer le fichier system 32 (siège d'un virus en mai => fichiers endommagés à l'époque?)
Il reste des fichiers endommagés non réparés
dois je lancer "sfc<espace>/scannow<espace>/OFFBOOTDIR=C:\<espace>/OFFWINDIR=C:\windows" dans l'invite de commande?

L'ordi fonctionne bien hormis le soucis à l'ouverture de session (ecran noir) mais cela n'arrive pas tout le temps

A bientot

PS: J'ai tenté de relancer tdss killer mais toujours rien. Je n'arrive pas à saisir pourquoi ce programme ne fonctionne pas. As tu deja vuce problème?
Fichiers joints
sfcdetailsrepair.txt
(4.22 Kio) Téléchargé 101 fois
sfcdetails.txt
(60.01 Kio) Téléchargé 100 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 26 Nov 2011, 18:14

Bonjour dockarabine,

- Autant qu'on puisse en juger le fichier non réparable n'est pas vital:

Cannot repair member file [l:30{15}]"reveal_rest.png" of Microsoft-Windows-Gadgets-SlideshowGadget, Version = 6.0.6000.16386


- Par contre les autres qui ont été réparés sont plus importants; Je suis surpris que cela n'apporte pas d'amélioration. :?

dois je lancer "sfc<espace>/scannow<espace>/OFFBOOTDIR=C:\<espace>/OFFWINDIR=C:\windows" dans l'invite de commande?


- Oui c'est plus ciblé. Cela ne coute pas grand chose d'essayer !

J'ai tenté de relancer tdss killer mais toujours rien. Je n'arrive pas à saisir pourquoi ce programme ne fonctionne pas. As tu deja vuce problème?


- C'est assez troublant; En général TDSSkiller ne se lance pas lorsqu'il y a un méchant rootkit qui le neutralise avant son initialisation complète.

- Parfois aussi suite à des pb de droits associés à l’exécutable, mais dans ton cas c'est pareil lorsqu'on change de nom (Junctions ne fonctionne pas non plus ni Gmer ...) donc on est en plein mystère :tvn:

1) Essayons ceci à propos des droits:

- Télécharge sur ton bureau Inherit.exe de sUBs

  • Déplace avec la souris TDSSKiller.exe et pose le sur Inherit.exe - les anglo saxons parlent de "drag and drop".
  • Patiente jusqu'à ce que tu aies la réponse OK

- Essaie à nouveau de relancer TDSSKiller en admin par clic droit ... et poste le contenu du rapport.

2) On peut aussi faire une vérif de ton système de fichier disque:

  • Clic sur Démarrer puis Ordinateur , clic droit sur le disque dur C: puis clic sur Propriétés
  • Une fenêtre apparaît, clic sur l'onglet Outils, puis clic sur le bouton Vérifier maintenant.
  • Laisse la première option cochée seule dans un premier temps

    Image
  • et clic sur Démarrer.
    - Windows propose d'effectuer Scandisk au prochain démarrage.
    - Clic sur Planifier la vérification du disque.
  • Scandisk se lancera automatiquement lors du prochain redémarrage.

- Fais une copie d'écran du résultat.

3) En dernier lieu jeter un œil pour vérifier si il n'y a pas une partition sauvage sur ton disque:

- Touche Windows+R pour ouvrir la fenêtre Exécuter
  • copie/colle la commande compmgmt.msc puis OK
  • CliqueGauche Gestion des disques
  • Fais une copie d'écran de ce qui est montré

Voilà, voilà ..;

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 27 Nov 2011, 15:40

Bonjour,

je n'ai pas réussi à lancer la commande scanno... j'ai fait une copie d'ecran, pb de chemin d'accès je pense

Image

J'ai fait la manip avec inherit mais rien n'y fait TDSS killer ne veut pas se lancer...... :eek:

voici le rapport scandisk et la copie de la partie gestion disque
Image

A+
Fichiers joints
wininit.jpg
wininit.jpg (209.84 Kio) Vu 648 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 27 Nov 2011, 17:55

Bonsoir dockarabin,

[Message édité et totalement repris vers 19h45] Suite à recherches:

- Normal que la commande ne fonctionne SFC indiquée ne fonctionne pas dans ce contexte. Cette commande est à appliquer avec la console de réparation ;) 8-)

- Je pense que tu es infecté par la toute dernière version du rootkit TDL4 qui crée une nouvelle partition bootable.

- Cette peste relance à chaque fois l'infection sans qu'il soit possible de faire quoi que ce soit tant qu'on boote de façon standard :|))

- Nous avons déjà une image de ta configuration machine en date du mois de mai:

Image

où la partition de 2 Mo n'apparaissait pas.

- Là il faut y aller avec prudence car il faut agir "à la main". Aucun outil n'est capable actuellement de traiter le pb automatiquement.

- Je te prépare une série de manip d'ici demain (désolé je ne peux pas faire plus rapidement) pour valider cette hypothèse. Avant de passer à l'attaque.

- En attendant peux tu faire un clic droit et lancer en tant qu'administrateur MBRCheck qui se trouve sur le bureau et poste le rapport.

- Essaie de te procurer 2 ou 3 CD vierges car nous allons devoir créer un ou des disques basés sur Linux pour traiter le pb ...

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 27 Nov 2011, 20:42

Bonsoir,

j'etais surpris de ces 2 Mo isolé. Bon c'est peut être un début d'explication... :-)

j'ai lancé MBRCheck voici le rapport
Prends ton temps pour les manip je ne suis pas pressé... l'ordi tourne quand meme. Je n'ai semble t-il plus le problème à l'ouverture de session.
C'est déja bien sympa à toi de t'occuper de mon problème.
Je vais me procurer des cd vierges

A bientot pour de nouvelles aventures
Fichiers joints
MBRCheck_11.27.11_20.31.23.txt
(10.51 Kio) Téléchargé 103 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 27 Nov 2011, 20:49

Re:

- Ça se confirme:

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 19A5AED30BC8D1AB71DFB25AF324B512A32FE2F6


On va quand même prendre un max de précautions.

- Si je te fais télécharger une image .ISO, sais tu en faire un CD bootable ? quel sorte de logiciel de gravure as tu ?

[édité plus tard]

- Autre possibilité: trouver chez ton marchand de journaux une revue avec un CD/DVD bootable d'une distribution de Ubuntu. Ce live inclut le logiciel Gparted qui va nous servir. Cette dernière solution aurait l'avantage de s'affranchir de pb de pilotes graphiques qu'on constatait parfois sur certaines machines HP ...

- Sais tu changer l’ordre de boot de ta machine afin de lancer le CD/DVD en premier ? je pense que oui mais bon ...

- Peux tu nous faire des copies d'écran de la configuration de tes partitions (comme précédemment) mais avec clic droit sur la partition de 2 Mo et clic droit sur la partition HP comme ceci:

Image

Image

:Atte:) Ne fais rien d'autre, même si sur mon exemple il y a un élément d'attribution de lettre au volume sélectionné.

Je prépare le tuto que j'adapterai en fonction de tes réponses :C)
A bientôt ...
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 29 Nov 2011, 20:27

Bonsoir,

alors pour l'image ISO, ca me paraît compliqué. Je fais regarder chez le marchand de jouraux. J'espère trouver cela facilement. Il y a un nom de revue particulier?

Pour lancer l'ordi à partir d'un CD, c'est ok pour moi

Concernant la capture d'ecran sur la gestion des disques, la surprise c'est que les 2 Mo n'apparaissent plus :plaf)
Image
Image

j'y comprend plus rien............
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

PrécédenteSuivante

Retourner vers Supprimer les virus - Désinfection PC

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités

Ce site utilise des pages PHP entièrement recyclables