Votre question

(Résolu)grave infection hardware, besoin aide merci

Tags :
  • Matériel
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Janvier 2012 20:48:16



Sans raison apparente, ou que je ne m'explique pas, le bureau ne s'affiche plus. J'ai des dizaines de fenêtres ouvertes avec ce message:
windows delayed write failed
Failed to save all the components for the file\system32\00005bc0
The file is corrupted or unreadable. This error may be caused by pc hardware problem.

Avira m'a suggéré un point de restauration que j'ai effectué.
je ne sais que faire, écran noir avec toutes ces fenêtres. Voyez-vous une opération de la dernière chance.
merci au fofo

Autres pages sur : resolu grave infection hardware besoin aide merci

24 Janvier 2012 21:05:25

Bonsoir

étape 1

  • Télécharge RogueKiller sur lon bureau
    (A partir d'une clé USB si le Rogue empêche l'accès au net) .
    http://www.sur-la-toile.com/RogueKiller/
  • Quitte tous les programmes en cours
  • Lance RogueKiller.exe.
    Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
  • Choisis l'option 2 et laisse tourner l'outil.

  • Poste le rapport RKreport.txt crée sur ton bureau.

    étape 2

    puis relance RogueKiller.exe.

  • Choisis l'option 6 et laisse tourner l'outil.

  • Poste le rapport RKreport.txt crée sur ton bureau.


    étape 3




    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware

    +++++++++
    ++++++++
    24 Janvier 2012 21:23:24

    bonsoir et merci pour ta réactivité,

    Parcontre, au redémarrage, peu après l'affichage de la fenêtre windows, le pc s'éteint et se rallume, et ce, en boucle!!
    Ca me fait un peu peur! J'ai bien essayé de redémarrer en mode sans échec sans résultats.
    Dois-je essayer de rebooter sur le cd système! car je n'ai plus accès à rien!
    Contenus similaires
    24 Janvier 2012 23:12:33

    Re,
    Après avoir réparé windows avec le cd d'origine medion, j'ai pu reprendre la main en mode ss échec.
    Par contre dans démarrer- programme, c'est vide ainsi que sur le bureau, écran noir.
    Quand j'ouvre le gestionnaire des tâches, je peux à ce moment sélectionner à ma guise.
    voici les 2 rapports RogueKiller.

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Fred [Droits d'admin]
    Mode: Suppression -- Date : 24/01/2012 22:50:41

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 16 ¤¤¤
    [SUSP PATH] HKLM\[...]\Run : xeqhwjmVOs.exe (C:\Documents and Settings\All Users\Application Data\xeqhwjmVOs.exe) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤
    [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 4d93964330031614bccbcc065ab5a980
    [BSP] 46691e2a6a7621c37fbe97bc6c7d0da5 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 122902 Mo
    1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 240043230 | Size: 127154 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Je posterai le reste demain
    merci encore

    25 Janvier 2012 04:38:42

    re,

    Il y a bien un dossier "RogueKiller Quarantaine" avec plein de fichiers dedans, mais je n'ai pas de rapport sur le bureau.
    Je posterai le rapport Malwarebytesantimalware cet après-midi.
    25 Janvier 2012 14:18:37

    Bonjour
    j'attends ton rapport. :) 
    sauvegarde tes données, ta désinfection pourrait être plus compliquée que ce que j'avais prévu au départ...

    25 Janvier 2012 14:38:38

    bonjour,

    Avira détecte également des trojans
    voici le rapport mbam
    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.25.02

    Windows XP Service Pack 2 x86 NTFS
    Internet Explorer 6.0.2900.2180
    Fred :: FRED-1A1F314886 [administrateur]

    25/01/2012 13:36:02
    mbam-log-2012-01-25 (13-36-02).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 258133
    Temps écoulé: 52 minute(s), 10 seconde(s)

    Processus mémoire détecté(s): 1
    C:\WINDOWS\Temp\ghwvwk\setup.exe (Trojan.FakeMS) -> 1744 -> Suppression au redémarrage.

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKLM\SYSTEM\CurrentControlSet\Services\AMService (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\WINDOWS\Temp\ghwvwk\setup.exe (Trojan.FakeMS) -> Suppression au redémarrage.
    C:\Documents and Settings\Fred\Application Data\Sun\Java\Deployment\cache\6.0\47\5709cb6f-24bbf187 (Trojan.Downloader.lb) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Fred\Local Settings\temp\fka0.7244832915309652.exe (Trojan.Downloader.lb) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Fred\Local Settings\temp\gcTmERuJcnFukI.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Fred\Local Settings\temp\mos0.9931687442122716.exe (Trojan.Downloader.lb) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\MM9HT71I\22[1].exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    D:\Films\MAJ_Ri4m_v503b.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    25 Janvier 2012 14:49:37

    ok

    1

    Scan ZeroAccess

  • Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Lance-le (utilisateurs Vista/7 >> Clic droit dessus --> Exécuter en tant qu'administrateur).

  • Une fenêtre noire s'affiche et te demande de confirmer le scan. Tape Y et valide.

    ==> Deux solutions sont possibles :

  • Le fix t'informe qu’un des fichiers systèmes a été patché et te propose de le nettoyer (des lignes rouges apparaissent à l'écran). Tape alors Y (oui) et Entrée pour lancer le nettoyage.

    --> Si l’opération a réussi, tu dois avoir le message Cleaned en vert.
    Appuye sur une touche et redémarre l’ordinateur.

    Poste le contenu du rapport qui se trouve sur ton bureau, et qui s'appelle AntiZeroAccess_Log.txt

  • Le fix t'informe que le système n'est pas infecté par ZeroAccess (des lignes vertes s'affichent), dans ce cas dis-le moi.


    2

    Suis ce Tutoriel: TDSSKiller
    Poste le rapport généré.


    ++++++
    25 Janvier 2012 14:59:17

    re,

    voilà mot pour mot la réponse: your system is not infect by ZeroAccess/Max++ Rootkit

    Webroot AntiZeroAccess 0.8 Log File
    Execution time: 25/01/2012 - 14:55
    Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 2
    14:55:27 - CheckSystem - Begin to check system...
    14:55:27 - OpenRootDrive - Opening system root volume and physical drive....
    14:55:30 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0E4EC49F sectors.
    14:55:30 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
    14:55:31 - InstallAndStartDriver - Main driver was installed and now is running.
    14:55:31 - CheckSystem - Disk class driver state is OK.
    14:55:53 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
    14:55:53 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
    14:55:53 - Execution Ended!
    --------------------------------------------------------------------------
    TDSSKiller n'a rien détecté, si besoin, je posterai le rapport

    25 Janvier 2012 15:22:18

    Re,

    En fait, voici le rapport TdssKiller
    http://
    25 Janvier 2012 17:30:24

    Bonjour
    parfait :) 
    comment se comporte ton pc?
    on vérifie:
    Télécharge DDS de sUBs sur ton bureau.
    L'outil ne nécessite pas d'installation.

    Lance-le en cliquant sur l'icône dds.scr:

    Cette fenêtre DOS va apparaitre:



    Le scan ne doit pas dépasser trois minutes.

    Deux rapports seront générés, Enregistre les rapports DDS.txt et Attach.txt.



    Poste le rapport DDS.txt, tu ne fourniras le rapport Attach.txt que s'il t'est demandé.


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    25 Janvier 2012 20:50:04

    .

    Ça va nettement mieux, mais je ne suis pas sûr d'être complètement désinfecté.
    Cela fait plusieurs fois que j'ai des infections, pourtant je ne suis pas un grand "téléchargeur", quelque fois pour les enfants mais rien de méchant. Alors je ne comprends pas toutes ces infections répétitives. J'aimerai selon tes disponibilités que tu me désinfectes le pc en profondeur et m'expliquer d'où proviennent ces infections.
    merci pour tout le boulot que tu fais!
    voici le rapport
    http://
    26 Janvier 2012 13:33:48

    bonjour,

    Avira a encore détecté 8 trojans!
    et le ventilo de la tour tourne à plein régime!



    1) J'ai eu également au démarrage du pc, 2 fenêtres avec menu dos et le ficher system32\cmd.exe, puis après l'affichage normal de l'écran win xp est revenu.

    2) Il refuse de désactiver la restauration du système prétextant une erreur!

    3) A un démarrage du pc, il m'a demandé si je voulais démarré normalement. Ça ne le fait pas à chaque fois




    26 Janvier 2012 22:06:27

    Bonsoir
    on va passer un outil plus puissant...

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>

    +++++++++++++++++++++
    26 Janvier 2012 23:00:20

    bonsoir,
    Au début du scan, j'ai eu ce message.


    Voici le rapport
    ComboFix 12-01-26.03 - Fred 26/01/2012 22:40:49.2.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.665 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Fred\Bureau\ComboFix.exe
    AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\All Users\Application Data\~sen5aou4lzj6rg
    c:\documents and settings\All Users\Application Data\~sen5aou4lzj6rgr
    c:\documents and settings\All Users\Application Data\agsmaaa.tmp
    c:\documents and settings\All Users\Application Data\buwmaaa.tmp
    c:\documents and settings\All Users\Application Data\sen5aou4lzj6rg
    c:\documents and settings\All Users\Application Data\sen5aou4lzj6rg.exe
    c:\documents and settings\All Users\Application Data\Tarma Installer
    c:\documents and settings\All Users\Application Data\Tarma Installer\{DA00D550-BB91-4A26-AAE5-9172D626CAAE}\_Setup.dll
    c:\documents and settings\All Users\Application Data\Tarma Installer\{DA00D550-BB91-4A26-AAE5-9172D626CAAE}\_Setupx.dll
    c:\documents and settings\All Users\Application Data\Tarma Installer\{DA00D550-BB91-4A26-AAE5-9172D626CAAE}\Setup.dat
    c:\documents and settings\All Users\Application Data\Tarma Installer\{DA00D550-BB91-4A26-AAE5-9172D626CAAE}\Setup.exe
    c:\documents and settings\All Users\Application Data\Tarma Installer\{DA00D550-BB91-4A26-AAE5-9172D626CAAE}\Setup.ico
    c:\documents and settings\All Users\Application Data\TEMP
    c:\documents and settings\All Users\Application Data\xfsmaaa.tmp
    c:\documents and settings\All Users\Application Data\yfsmaaa.tmp
    c:\documents and settings\All Users\Application Data\zfsmaaa.tmp
    c:\documents and settings\Fred\WINDOWS
    c:\windows\$NtUninstallKB50792$
    c:\windows\$NtUninstallKB50792$\2105450640
    c:\windows\$NtUninstallKB50792$\695004932\@
    c:\windows\$NtUninstallKB50792$\695004932\bckfg.tmp
    c:\windows\$NtUninstallKB50792$\695004932\cfg.ini
    c:\windows\$NtUninstallKB50792$\695004932\Desktop.ini
    c:\windows\$NtUninstallKB50792$\695004932\keywords
    c:\windows\$NtUninstallKB50792$\695004932\kwrd.dll
    c:\windows\$NtUninstallKB50792$\695004932\L\vnvgatmj
    c:\windows\$NtUninstallKB50792$\695004932\U\00000001.@
    c:\windows\$NtUninstallKB50792$\695004932\U\00000002.@
    c:\windows\$NtUninstallKB50792$\695004932\U\00000004.@
    c:\windows\$NtUninstallKB50792$\695004932\U\80000000.@
    c:\windows\$NtUninstallKB50792$\695004932\U\80000004.@
    c:\windows\$NtUninstallKB50792$\695004932\U\80000032.@
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\key_index.dat
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\known.met
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\known2_64.met
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\load_index.dat
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\nodes.dat
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-00.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-01.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-02.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-03.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-04.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-05.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-06.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\queries-07.cache
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\server.met
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\server_met.old
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\src_index.dat
    c:\windows\system32\Temp
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_AMSERVICE
    -------\Legacy_MYWEBSEARCHSERVICE
    -------\Legacy_WINDOWS_INTERNET_NAME_SERVICE
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-12-26 au 2012-01-26 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-01-26 12:41 . 2012-01-26 13:19 -------- d-----w- c:\windows\system32\CatRoot_bak
    2012-01-26 12:37 . 2008-06-14 17:59 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
    2012-01-26 03:39 . 2012-01-26 03:39 -------- d-----w- c:\program files\MSXML 6.0
    2012-01-24 21:49 . 2012-01-24 21:52 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
    2012-01-24 21:18 . 2001-08-23 16:47 7168 -c--a-w- c:\windows\system32\dllcache\EXCH_snprfdll.dll
    2012-01-24 21:18 . 2001-08-23 16:47 12800 -c--a-w- c:\windows\system32\dllcache\EXCH_smtpctrs.dll
    2012-01-24 21:17 . 2001-08-23 16:47 26112 -c--a-w- c:\windows\system32\dllcache\EXCH_seos.dll
    2012-01-24 21:17 . 2001-08-23 16:47 57856 -c--a-w- c:\windows\system32\dllcache\EXCH_scripto.dll
    2012-01-24 21:17 . 2001-08-23 16:47 23040 -c--a-w- c:\windows\system32\dllcache\EXCH_regtrace.exe
    2012-01-24 21:17 . 2001-08-23 16:47 38912 -c--a-w- c:\windows\system32\dllcache\EXCH_ntfsdrv.dll
    2012-01-24 21:17 . 2004-08-05 12:00 7680 -c--a-w- c:\windows\system32\dllcache\migregdb.exe
    2012-01-24 21:17 . 2004-08-05 12:00 92416 -c--a-w- c:\windows\system32\dllcache\mga.sys
    2012-01-24 21:17 . 2004-08-05 12:00 92032 -c--a-w- c:\windows\system32\dllcache\mga.dll
    2012-01-24 21:17 . 2001-08-23 16:47 65536 -c--a-w- c:\windows\system32\dllcache\EXCH_mailmsg.dll
    2012-01-24 21:17 . 2004-08-05 12:00 23040 -c--a-w- c:\windows\system32\dllcache\lpdsvc.dll
    2012-01-24 21:17 . 2004-08-05 12:00 19456 -c--a-w- c:\windows\system32\dllcache\lprmon.dll
    2012-01-24 21:17 . 2004-08-05 12:00 33792 -c--a-w- c:\windows\system32\dllcache\lmmib2.dll
    2012-01-24 21:15 . 2004-08-05 12:00 57399 -c--a-w- c:\windows\system32\dllcache\cplexe.exe
    2012-01-24 21:14 . 2004-05-12 23:39 598071 -c--a-w- c:\windows\system32\dllcache\fpmmc.dll
    2012-01-24 21:12 . 2004-08-05 12:00 16384 -c--a-w- c:\windows\system32\dllcache\isignup.exe
    2012-01-24 21:12 . 2004-08-05 12:00 16384 ----a-w- c:\program files\Internet Explorer\Connection Wizard\isignup.exe
    2012-01-24 21:02 . 2004-08-05 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
    2012-01-24 21:02 . 2004-08-05 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
    2012-01-24 21:02 . 2004-08-05 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
    2012-01-24 21:01 . 2004-08-05 12:00 14043 ----a-r- c:\windows\SET150.tmp
    2012-01-24 21:01 . 2004-08-05 12:00 1086058 ----a-r- c:\windows\SET144.tmp
    2012-01-24 21:01 . 2004-08-05 12:00 1014836 ----a-r- c:\windows\SET141.tmp
    2012-01-24 19:49 . 2008-04-14 02:33 549376 ----a-w- c:\windows\system32\OLD186.tmp
    2012-01-24 19:14 . 2012-01-24 19:14 -------- d-s---w- c:\windows\system32\config\systemprofile\PrivacIE
    2012-01-06 23:21 . 2012-01-06 23:21 -------- d-----w- c:\documents and settings\Fred\Application Data\Leadertech
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-12-10 14:24 . 2011-02-27 11:06 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NBJ"="c:\program files\Ahead\Nero BackItUp\nbj.exe" [2005-06-02 1957888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
    "nwiz"="nwiz.exe" [2008-05-16 1630208]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
    "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-05 44544]
    .
    c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-11 110592]
    Démarrage Quicken.lnk - c:\program files\QUICKENW\QWDLLS.EXE [2008-12-11 36864]
    e-Carte Bleue La Banque Postale.lnk - c:\program files\e-Carte Bleue La Banque Postale\ecbl-lbp.exe [2009-1-8 278528]
    LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-12-11 57344]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    Mémento Quicken.lnk - c:\program files\QUICKENW\BILLMIND.EXE [2008-12-11 36864]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
    2003-05-08 10:00 49152 -c--a-w- c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\eChanblard\\emule.exe"=
    "c:\\Program Files\\aMSN\\bin\\wish.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "21279:TCP"= 21279:TCP:WINS
    "21279:UDP"= 21279:UDP:WINS
    "29674:TCP"= 29674:TCP:WINS
    "29674:UDP"= 29674:UDP:WINS
    "24425:TCP"= 24425:TCP:WINS
    "24425:UDP"= 24425:UDP:WINS
    "24428:TCP"= 24428:TCP:WINS
    "24428:UDP"= 24428:UDP:WINS
    .
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/11/2009 21:59 136360]
    R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 12:13 38144]
    R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [10/12/2008 23:54 1287296]
    R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [11/12/2008 00:47 47360]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/09/2011 08:09 136176]
    S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [11/04/2010 13:59 63555]
    S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [11/04/2010 13:59 114616]
    S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [16/09/2011 08:09 136176]
    S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 14:02 287232]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1FF-37FF-4bFF-8CFF-4F3A747040FF}]
    2004-08-05 12:00 101888 ----a-w- c:\windows\system32\advpack.dll
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-01-23 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
    .
    2012-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-09-16 07:09]
    .
    2012-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-09-16 07:09]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\documents and settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110907200155640&tb_oid=07-09-2011&tb_mrud=07-09-2011&query=
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
    FF - Ext: AutocompletePro - Your handy search suggestions tool: support@predictad.com - %profile%\extensions\support@predictad.com
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-10 - (no file)
    HKLM-Run-Cmaudio - cmicnfg.cpl
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-01-26 22:51
    Windows 5.1.2600 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Microsoft\DbgagD\1*]
    "value"="?\0b\02\0f\0c;\">"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(3152)
    c:\windows\system32\msi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Avira\AntiVir Desktop\avshadow.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\system32\RunDll32.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\Fichiers communs\Java\Java Update\jucheck.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-01-26 22:56:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-01-26 21:56
    .
    Avant-CF: 46 114 525 184 octets libres
    Après-CF: 46 115 909 632 octets libres
    .
    - - End Of File - - 07B863D9BB208679AEB1973D4F76DA74
    ----------------------------------------------------------------------------------
    Comme j'ai réparé windows, il m'a remis en sp2, je n'arrive pas à installer la mise à jour sp3, il refuse un accès à un moment avancé de l'installation. Que se passe t' il ? Un lien peut-être avec toutes les manips effectuées ?

    27 Janvier 2012 21:18:54

    Bonsoir
    Citation :
    Comme j'ai réparé windows, il m'a remis en sp2, je n'arrive pas à installer la mise à jour sp3, il refuse un accès à un moment avancé de l'installation. Que se passe t' il ? Un lien peut-être avec toutes les manips effectuées ?

    je ne t'avais pas demandé de réparer...
    zeroaccess est une plaie...
    tes soucis ne sont pas liés aux outils utilisés mais au comportement que tu as sur le net qui ont générés tes virus :o 

    le plus sage serait de sauvegarder tes données et de formater ton pc.
    http://www.malekal.com/2010/11/12/installation-de-windo...


    28 Janvier 2012 07:15:05

    bonjour,

    Effectivement, j'ai dû à un moment faire une mauvaise manip, je me souviens avoir voulu réparer une clé usb en téléchargeant des logs parfois douteux..
    Enfin, sage décision, je vais reformater. Malgré qques problèmes de MaJ, le pc fonctionnait beaucoup mieux.
    J' ai dû réparer windows avant que tu me guides dans une démarche de nettoyage, car je n'avais plus le contrôle du pc, pas le choix.
    En tout cas, merci pour ta patience et ton dévouement. Je serai encore plus vigilant désormais.
    bonne continuation
    28 Janvier 2012 15:15:45

    bon surf :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS