Se connecter avec
S'enregistrer | Connectez-vous
Votre question

problème fichier appdata/roaming

Dernière réponse : dans Sécurité et virus
Partagez
22 Avril 2012 10:26:33

Bonjour,

suite à un scan avec malwarebyte,j'ai supprimé les fichiers infectés selon lui.

depuis,mon PC plante ou s’éteint tout seul.

à l'ouverture,j'ai 2 icones qui apparraissent avec marqué "cwcwer" et"c:appdata/roaming\2 2\svchost.exe"

Suite à la lecture d'un autre sujet,j'ai fais un scan avec aswMBR et voici le résultat:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-22 10:17:16
-----------------------------
10:17:16.197 OS Version: Windows 6.1.7600
10:17:16.197 Number of processors: 2 586 0x4B02
10:17:16.199 ComputerName: XAVI-PC UserName: Xavi
10:17:16.465 Initialize success
10:17:19.101 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000065
10:17:19.105 Disk 0 Vendor: WDC_WD16 10.0 Size: 152627MB BusType: 3
10:17:19.108 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000066
10:17:19.112 Disk 1 Vendor: WDC_WD25 02.0 Size: 238475MB BusType: 3
10:17:19.130 Disk 0 MBR read successfully
10:17:19.134 Disk 0 MBR scan
10:17:19.138 Disk 0 Windows 7 default MBR code
10:17:19.143 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152617 MB offset 63
10:17:19.149 Disk 0 scanning sectors +312560640
10:17:19.199 Disk 0 scanning C:\Windows\system32\drivers
10:17:26.089 Service scanning
10:17:37.942 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
10:17:42.422 Modules scanning
10:17:52.424 Disk 0 trace - called modules:
10:17:52.801 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x847711f8]<<
10:17:52.808 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x857b1620]
10:17:52.817 3 CLASSPNP.SYS[87ae059e] -> nt!IofCallDriver -> [0x854c4f08]
10:17:52.824 5 ACPI.sys[873393b2] -> nt!IofCallDriver -> \Device\00000065[0x854b2c78]
10:17:52.833 \Driver\nvstor32[0x847a1cc0] -> IRP_MJ_CREATE -> 0x847711f8
10:17:52.841 Scan finished successfully
10:18:04.757 Disk 0 MBR has been saved successfully to "C:\Users\Xavi\Desktop\MBR.dat"
10:18:04.780 The log file has been saved successfully to "C:\Users\Xavi\Desktop\aswMBR.txt"

Je suis sous windows 7,

merci d'avance pour m'aider et me dire comment je dois faire pour réparer ça!
a c 295 8 Sécurité
23 Avril 2012 21:39:27

Bonsoir,

Il nous faudrait le rapport Malwarebyte's s'il te plait
(Dans malwarebyte's : onglet "rapport/log )

Ensuite on va regarder un peu :

1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    a b 8 Sécurité
    24 Avril 2012 10:25:10

    Je pose mon drapeau :$
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter