Se connecter / S'enregistrer
Votre question

[Resolu] Virus mbam/hijackthis ?

Tags :
  • Virus
  • Hijackthis
  • Programme
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Octobre 2012 22:05:53

Voila alors ce matin lorsque j'ai allumé mon pc portable, il était écrit qu'un programme voulait vérifier mon disque dure, étant donnée que je ne m'y connais pas trop en informatique, j'ai laissé ce fichier faire, or dés que j'ai redémarré mon pc, l'écran était noir, il reste les icônes mais je ne peux plus accéder à mes programmes, ni à tout les fichiers de mon disque dur, je pense à un virus mais vu que je ne m'y connais pas trop. Ce que je vois propriété du disque dure c'est:
Espace utilisé : 0 octet
Espace libre : 0 octet
J'ai ceci :
http://www.recoveo.com/images/experience/support/cle_ze...

Sauf qu'à la place de RAW j'ai NTFS
Je suis sous windows 7
Help please !
Merce d'avance

( Desolé pour le double post, car je l'ai deja posté dans logiciel de bureau, mais on ma conseillé de changer de section et étant nouvelle sur le forum, je ne sais pas comment déplacer le sujet ^^' )

Autres pages sur : resolu virus mbam hijackthis

a c 614 8 Sécurité
23 Octobre 2012 10:41:00

Bonjour aussi ;) 

On va regarder, c'est possiblement une infection effectivement.

à faire : (si tu ne peux télécharger sur ce pc, fais-le d'un pc fonctionnel, et transfère via clé usb)

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    28 Octobre 2012 22:55:17

    Re,

    Alors je pense que ton disque dur a un souci de fonctionnement, plus qu'une infection.
    Je vois qu'effectivement une analyse d'erreur disque à été effectuée ...

    De plus, ton disque dur principal est presque plein :
    Drive C: | 217,73 Gb Total Space | 9,55 Gb Free Space | 4,38% Space Free | Partition Type: NTFS
    Il faut impérativement faire du ménage : logiciels inutiles, photos, vidéos, documents personnels à transférer sur d'autres supports, etc ...

    On va tenter de nettoyer quelques trucs, mais je ne suis pas sûr que ce soit lié à ton problème actuel ...

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Java(TM) 6 Update 17 (64-bit)
    - Java(TM) 6 Update 22
    - Java(TM) 6 Update 23 (versions obsolètes et vulnérables, tu possèdes une plus récente)

    - Complitly (adware : logiciel publicitaire)
    - Conduit Engine (idem)
    - ShopperReports (idem)
    - AF-HSS Toolbar (barre d'outil sponsorisée par un adware)

    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\URLSearchHook: {f0381dbd-e018-4e07-ae40-d96ab15083f0} - C:\Program Files (x86)\AF-HSS\prxtbAF-H.dll (Conduit Ltd.)
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2765711
    IE - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=111020&babsrc=HP_ss&mntrId=0e45362200000000000070f1a1e8a74b
    IE - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&babsrc=SP_ss&mntrId=0e45362200000000000070f1a1e8a74b
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111020&babsrc=KW_ss&mntrId=0e45362200000000000070f1a1e8a74b&q="
    [2012/07/11 22:52:41 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    O2:64bit: - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Seddoud Assia\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)
    O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll File not found
    O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Seddoud Assia\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (AF-HSS Toolbar) - {f0381dbd-e018-4e07-ae40-d96ab15083f0} - C:\Program Files (x86)\AF-HSS\prxtbAF-H.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (AF-HSS Toolbar) - {f0381dbd-e018-4e07-ae40-d96ab15083f0} - C:\Program Files (x86)\AF-HSS\prxtbAF-H.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O3 - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\Toolbar\WebBrowser: (no name) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - No CLSID value found.
    O3 - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2386786072-2035941585-810313305-1009\..\Toolbar\WebBrowser: (AF-HSS Toolbar) - {F0381DBD-E018-4E07-AE40-D96AB15083F0} - C:\Program Files (x86)\AF-HSS\prxtbAF-H.dll (Conduit Ltd.)
    O4 - HKU\S-1-5-21-2386786072-2035941585-810313305-1009..\Run: [BrowserChoice] "C:\Windows\System32\browserchoice.exe" /run File not found
    MsConfig:64bit - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: AppleSyncNotifier - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: Easybits Recovery - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: Kujytuo - hkey= - key= - C:\Users\Seddoud Assia\AppData\Roaming\kujytuo.exe ()
    MsConfig:64bit - StartUpReg: MSC - hkey= - key= - File not found
    [2012/07/11 22:52:32 | 000,000,000 | ---D | M] -- C:\Users\Assia\AppData\Roaming\Babylon

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "TCP Query User{DCF7D70B-5C0F-42BB-A1B3-C20414AB889F}C:\program files (x86)\relevantknowledge\rlvknlg.exe"=-
    "UDP Query User{9FF2579F-8C9D-4639-992E-1AAD69BC7F05}C:\program files (x86)\relevantknowledge\rlvknlg.exe"=-

    :Files
    C:\program files (x86)\relevantknowledge
    C:\Users\Seddoud Assia\AppData\Roaming\kujytuo.exe

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Dis-moi si après redémarrage il y a du mieux ou non.
    29 Octobre 2012 11:52:35

    Re, Alors je n'ai pas réussi à désinstaller,
    - Java(TM) 6 Update 17 (64-bit)
    - Java(TM) 6 Update 22
    - Java(TM) 6 Update 23
    Un message d'erreur s'affiche en me disant:
    " Impossible d'ouvrir ce package d'installation. Vérifiez qu'il existe et que vous êtes autorisé à y accéder, ou vérifier auprès votre revendeur d'applications que ce package de Windows Installer est valide."

    Ou sinon j'obtient :
    http://security-x.fr/up/file.php?h=R97cee70f5644c27580d...

    et

    http://security-x.fr/up/file.php?h=Re0fc8ced06ea83a8b88...

    Par contre aucune amélioration, je n'ai toujours pas accès à mes programmes, ni à mon disque dur. :/ 
    Et j'ai fais ces "manipulations" en mode sans échec puisque je ne peux rien télécharger en "mode normal", j’espère que ça ne change rien...

    Pour vous aider à mieux comprendre mon problème :) 
    Enfaite c'est comme si je n'était pas administrateur sur mon pc portable puisque dés que j'essaye d'ouvrir iTunes par exemple il me met un message d'erreur : Soit le dossier "iTunes" est sur un disque verouillé, soit vous ne disposez pas de l'autorisation d'écriture pour ce dossier.
    a c 614 8 Sécurité
    29 Octobre 2012 14:48:03

    Re,

    Oui en mode sans échec certain programme ne peuvent être désinstaller car "Windows installer" ne fonctionne pas.

    Je pense par contre que le souci viens d'un problème de disque ou système, pas d'une infection, je n'ai rien vu de cela dans les rapports.

    On va tester de restaurer le système avant l'apparition des symptômes :

    Suis ce tuto pour parvenir à l'écran de choix de la console de récupération :
    http://www.chantal11.com/2010/05/windows-7-ne-demarre-p...

    Puis choisi "Restaurer le système"
    Sélectionne un point à une date antérieure à l'apparition du problème et valide.
    Laisse l'opération se dérouler.

    Au redémarrage, regarde s'il y a du mieux ou non.

    :jap: 

    29 Octobre 2012 15:33:28

    Alors j'ai tenté de restaurer mon système, déjà lors du choix des sessions, une session que je n'ai pas sur mon ordi y était ( je ne me souviens plus du nom mais c'était quelque chose comme homepage$ ). Puis il n'y avait pas de date antérieur aux symptômes, juste les dates d'aujourd'hui lorsque j'ai supprimais certains programme. Et lorsque que j'ai sélectionné l'option réparation du démarrage, il m'affichait un message d'erreur en me disant que j'avais des périphériques( webcam,...) connectés à l'ordi alors que ce n'est pas le cas.... --'

    Je pense que je vais faire un formatage bas niveau, qualqu'un aurait un logiciel à me proposer, sachant que je suis sous windows 7 64 bits.
    a c 614 8 Sécurité
    29 Octobre 2012 18:41:03

    Re,

    Pense à sauvegarder tes donnée auparavant.

    Si c'est un pc de marque, il existe la restauration d'usine, tu n'as rien besoin de particulier, faut juste lancer l'opération.

    Si tu me fournis marque et modèle, je te donnerais un lien ou une procédure pour effectuer cela.

    :jap: 
    29 Octobre 2012 19:44:46

    Même un formatage simple, je ne peux le faire, voila le message qu'il m'affiche:
    Le lecteur est utilisé. Ce lecteur est utilisé par une autre application ou un autre processus.
    Et lorsque je force le formatage, il me dit:
    Windows ne peut pas formater ce lecteur. Quittez tous les utilitaires sur disque ou tous les autres programmes utilisant ce lecteur et vérifiez qu'aucune fenetre n'affiche le contenu du lecteur.
    Alors que tous mes programmes sont fermés.

    Alors mon pc est un compaq CQ-56
    29 Octobre 2012 20:56:30

    RESOLU !!
    Ca y est j'ai restauré mon pc au paramétre d'usine et le problème a disparu avec ! ^^
    Encore merci de ton aide ! :) 
    a c 614 8 Sécurité
    29 Octobre 2012 22:01:41

    [:hyunkel30] ... même si un formatage n'est pas une solution en soit :D 

    Quelques conseils quand même :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    2 Novembre 2012 21:13:58

    Re,

    ... On dirait qu'en réalité mon probléme n'ait pas complétement disparu...
    J'étais sur mon pc quand il s'est éteint tout seul et quand je l'ai rallumé j'ai eu ceci comme message d'erreur :

    Signature du problème
    Nom d’événement du problème : BlueScreen
    Version du système: 6.1.7601.2.1.0.768.3
    Identificateur de paramètres régionaux: 1036

    Informations complémentaires sur le problème
    BCCode: 116
    BCP1: FFFFFA800300F010
    BCP2: FFFFF88003E1FDE0
    BCP3: FFFFFFFFC0000001
    BCP4: 0000000000000003
    OS Version: 6_1_7601
    Service Pack: 1_0
    Product: 768_1
    ID du récipient : X64_0x116_TdrBCR:3:C0000001_Tdr:2_IMAGE_igdkmd64.sys
    Informations du serveur : f31b8b64-e7ad-420a-9757-96e403441c42

    Vous pensez que c'est une infection ou un problème interne à mon ordi portable ?
    Encore merci d'avance :) 
    a c 614 8 Sécurité
    2 Novembre 2012 21:37:10

    Re,

    Après formatage, non pas infectieux, c'est matériel probablement.

    Lié au pilote graphique probablement vu le fichier : igdkmd64.sys

    Faut tester de mettre à jour ce pilote pour voir.
    2 Novembre 2012 23:58:50

    J'ai mis à jour le pilote, ça y est :)  Merci
    a c 614 8 Sécurité
    3 Novembre 2012 09:38:04

    Re,

    Vérifie que l'écran bleu ne revienne plus.

    Si c’est ok, tu pourras mettre le sujet en "resolu"

    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS