Se connecter / S'enregistrer
Votre question

[Résolu] TR/Crypt ZPACK Gen

Tags :
  • Logiciels
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Juin 2010 15:51:41

Bonjour, Mon logiciel AVIRA m'informe de la presence de TR/Crypt.ZPACK.Gen dans system32\drivers. Comment puis je m'en débarrasser? Merci par avance

Autres pages sur : resolu crypt zpack gen

13 Juin 2010 16:16:16

Salut,


tu as le nom exacte du fichier stp ? ... tu n'arrives pas à le mettre en quarantaine ?




Puis fait ceci pour avoir un diagnostique précis du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    13 Juin 2010 18:31:38

    Merci de votre réponse,

    Voici le rapport d'ANTIVIR :

    Dans le fichier 'C:\WINDOWS\system32\drivers\Cdaudio.sys'
    un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
    Action exécutée : Déplacer le fichier en quarantaine

    Il detecte ce programme dans l'ensemble des fichiers des drivers.
    maintenant il le detecte dans Restore, je sais plus quoi faire.

    Je vais suivre votre processus et vous tenir au courant.
    merci encore
    Contenus similaires
    13 Juin 2010 18:35:23

    re,

    c'est un fichier légitime à la base ! ...

    j'attends le rapport ZHPDiag ...
    13 Juin 2010 18:55:20

    j'ai une quarantaine d'alerte depuis hier vois plus. tout les fichiers détecté on l'air légitime...
    13 Juin 2010 18:57:16

    bon ...



    1- déjà , désinstalle AVG AntiSpyware : obsolete et bouffe de la recource pour que dale au niveau protection ...


    ===================

    2- ensuite restaure le fichier Cdaudio.sys : ouvre AntiVir / à gauche , clique sur le menu "administration" et place toi sur "quarataine" :
    > selectionne la ligne correspondant au fichier à restaurer / clique droit dessus et choisis "restaurer l'objet".

    Redémarre le PC .

    ==================

    3- Désactive AntiVir et fait ce qui suit :

    Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    C:\WINDOWS\system32\drivers\Cdaudio.sys

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...
    13 Juin 2010 19:13:05

    j'ai essayé de restaurer le fichier mais il ne disparaissait pas de la liste, j'ai essayer plusieurs fois, ANtivir me dit que le fichier est deja existant, je dis que ok pour le remplacer. en redemarrant le pc j'essaie de faire le proccess sur virustotal.com :

    rapport : 0 bytes size received / Se ha recibido un archivo vacio

    je retourne sur antivir, le fichier est encore en quarantaine, je recommence a le restaurer : echec de restauration...

    13 Juin 2010 19:26:59

    re,


    laisse tomber cette manipe pour le moment et fait ceci à la place :


    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


    Cdaudio.sys


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/



    13 Juin 2010 19:41:06

    Bon ...



    on va s'occuper de cela ...


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    Commence par faire ceci dans l'ordre :


    1- Infecté par Navipromo .

    -------------------------------------

    Pour info,
    Les programmes suivants installent cette infection :
    - Funky Emoticons
    - Games-Attack
    - Original-Solitaire
    - Go-Astro
    - GoRecord
    - HotTVPlayer
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Sudoplanet
    - WebMediaPlayer

    ---------------------------------------

    Télécharge Navilog1 sur ton bureau

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite double-clique sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 1 et valide .
    (ne fais pas d'autre choix sans notre avis/accord) .

    Patiente le temps du scan ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

    Note :
    Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le.
    ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C:\cleanavi.txt" )



    ============================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    13 Juin 2010 19:57:56

    voici les 2 rapports :

    AVEC NAVILOG :

    Fix Navipromo version 4.0.8 commencé le 13/06/2010 19:47:46,68

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
    BIOS : Award Modular BIOS v6.00PG
    USER : sylvain ( Administrator )
    BOOT : Normal boot

    Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)
    Firewall : Sygate Personal Firewall 4.6 (Not Activated)

    C:\ (Local Disk) - NTFS - Total:117 Go (Free:11 Go)
    D:\ (Local Disk) - NTFS - Total:39 Go (Free:5 Go)
    G:\ (Local Disk) - NTFS - Total:113 Go (Free:20 Go)
    H:\ (Local Disk) - NTFS - Total:255 Go (Free:0 Go)
    I:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
    J:\ (CD or DVD) - UDF - Total:1 Go (Free:0 Go)


    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur


    C:\WINDOWS\prefetch\GACUTIL.EXE-2736E6B3.pf supprimé !


    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\sylvain\locals~1\Temp effectué !


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok




    *** Scan terminé 13/06/2010 19:51:02,84 ***



    AVEC AD-R :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 12/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 19:52:28 le 13/06/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    sylvain, SYLVAIN-DB211BF ( )

    ============== RECHERCHE ==============


    0,Dossier trouvé: C:\Documents and Settings\sylvain\Application Data\EoRezo

    1,Clé trouvée: HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
    1,Clé trouvée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
    0,Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBho
    0,Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
    0,Clé trouvée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
    1,Clé trouvée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
    0,Clé trouvée: HKLM\Software\EoRezo
    0,Clé trouvée: HKLM\Software\Live-Player
    0,Clé trouvée: HKLM\Software\PopCap
    0,Clé trouvée: HKCU\Software\EoRezo
    0,Clé trouvée: HKCU\Software\Live-Player
    0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

    0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine


    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
    Search Page: hxxp://home.microsoft.com/access/allinone.asp
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 1677 Octet(s)

    Fin à: 19:54:16, 13/06/2010

    ============== E.O.F ==============
    13 Juin 2010 20:41:25

    bien ...


    la suite :


    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Relance Ad-Remover .

    • Au menu principal clique cette fois sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ==================================

    2- On va utiliser Malwarebytes ainsi :


    > Mets le à jour ! ( onglet "mise à jour" . Recommence jusqu'a ce qu'il n'y est plus de maj disponible )


    ! Déconnecte toi et ferme toutes applications en cours !

    > Utilisation ( onglet "Recherche" ) :

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ===============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    13 Juin 2010 20:51:11

    je viens d'avoir un nouveau message :
    Dans le fichier 'C:\System Volume Information\_restore{D1ADEFE7-D0B1-4D26-AE34-33305A00C860}\RP541\A0065666.sys'
    un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    je suis le dernier process que vous m'avez demandé et je vous le post...
    13 Juin 2010 21:19:36

    re,

    Citation :
    'C:\System Volume Information\_restore{D1ADEFE7-D0B1-4D26-AE34-33305A00C860}\RP541\A0065666.sys'


    t'inquiète , c'est dans la "restauration systeme" ... c'est inactif tant que tu ne fais pas une restauration ... on purgera cela en temps voulu ...


    j'attends les résultats demandés ....

    13 Juin 2010 21:43:52

    Voici les rapports :

    lorsque j'ai lancé ZHP diag (2 fois de suite car pas de sauvegarde du rapport la premiere fois) AVIRA m'a informé 3 fois de suite les memes attaques qu'hier : Dans le fichier 'C:\WINDOWS\system32\drivers\secdrv.sys'
    un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    ainsi que dans "drivers" egalement les fichiers : old2c.tmp, old20.tmp, caudio.sys : c'est toujours les memes qui reviennent. De plus quand j'ai lancé internet je n'ai plus google en page d'accueil mais msn.com???

    voici les rapports demandés :

    AD-R :
    ======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 12/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 20:47:50 le 13/06/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    sylvain, SYLVAIN-DB211BF ( )

    ============== ACTION(S) ==============


    0,Dossier supprimé: C:\Documents and Settings\sylvain\Application Data\EoRezo

    (!) -- Fichiers temporaires supprimés.


    1,Clé supprimée: HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
    0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
    0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
    0,Clé supprimée: HKLM\Software\EoRezo
    0,Clé supprimée: HKLM\Software\Live-Player
    0,Clé supprimée: HKLM\Software\PopCap
    0,Clé supprimée: HKCU\Software\EoRezo
    0,Clé supprimée: HKCU\Software\Live-Player

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine


    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 457 Octet(s)
    C:\Ad-Report-CLEAN[2].txt - 1561 Octet(s)
    C:\Ad-Report-SCAN[1].txt - 2895 Octet(s)

    Fin à: 20:49:32, 13/06/2010

    ============== E.O.F ==============



    Anti-Malware :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4194

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    13/06/2010 21:07:58
    mbam-log-2010-06-13 (21-07-58).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 123791
    Temps écoulé: 6 minute(s), 33 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\sylvain\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


    ZHPDIAG :
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijYkIKS...

    Merci

    13 Juin 2010 22:33:55

    re,

    les alertes d'AntiVir ne sentent pas bon du tout ...
    Se sont des drivers légitimes qui sont très certainement patchés ...

    le fait que leurs signature numérique ( MD5 ) soit nul est plus que louche :


    Citation :
    O58 - SDL:[MD5.00000000000000000000000000000000] - 13/06/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\Cdaudio.sys
    O58 - SDL:[MD5.00000000000000000000000000000000] - 13/06/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\Changer.sys
    O58 - SDL:[MD5.00000000000000000000000000000000] - 13/06/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\secdrv.sys



    Pour ta page d'acceuil , pas d'inquiètude , remets Google ...



    La suite dans l'ordre :



    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ==============================

    2- On va réutiliser SEAF ainsi :

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    Cdaudio.sys,Changer.sys,secdrv.sys


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    =================================

    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    13 Juin 2010 23:25:27

    Suite au dernier redemarrage : j'ai eu un message d'erreur critique :

    BCCode : 19 BCP1 : 00000020 BCP2 : 8523C000 BCP3 : 8523C418
    BCP4 : 1A830000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

    Je ne sais pas ce que c'est...

    Le RAPPORT COMBOFIX n'est pas dans C:
    par contre dans c: j'ai une icone identique à poste de travail qui se nomme COMBIFIX.

    Je fais rechercher un fichier "combofix" dans c:

    la recherche est n'importe quoi car me sort plusieurs fois les memes fichiers, je stoppe avant la fin la recherche....
    par contre aucun fichier TXT


    Rapport SEAF :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 22:52:40 le 13/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. Cdaudio.sys
    8. Changer.sys
    9. secdrv.sys
    10.
    11. (!) --- Calcul du Hash "MD5"
    12. (!) --- Affichage des ADS
    13. (!) --- Informations supplémentaires
    14. (!) --- Recherche registre
    15.
    16. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    17.
    18. "c:\WINDOWS\system32\drivers\Cdaudio.sys" [ ----A---- | 772096 ]
    19. TC: 17/08/2001,23:52:30 | TM: 13/06/2010,19:49:23 | DA: 13/06/2010,20:53:58
    20. MD5: DENIED
    21.
    22.
    23.
    24. =========================
    25.
    26. "c:\WINDOWS\system32\drivers\Changer.sys" [ ----A---- | 772096 ]
    27. TC: 11/06/2010,23:23:39 | TM: 13/06/2010,22:55:05 | DA: 13/06/2010,22:55:05
    28. MD5: DENIED
    29.
    30.
    31. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    32.
    33. =========================
    34.
    35. "c:\WINDOWS\system32\drivers\secdrv.sys" [ ----A---- | 772096 ]
    36. TC: 05/08/2004,14:00:00 | TM: 13/06/2010,19:13:08 | DA: 13/06/2010,21:03:41
    37. MD5: DENIED
    38.
    39.
    40.
    41. =========================
    42.
    43. "c:\WINDOWS\system32\dllcache\cdaudio.sys" [ ----AC---- | 18688 ]
    44. TC: 17/08/2001,23:52:30 | TM: 17/08/2001,21:52:30 | DA: 13/06/2010,19:00:14
    45. MD5: c1b486a7658353d33a10cc15211a873b
    46.
    47.
    48. CompagnyName: Microsoft Corporation
    49. ProductName: Microsoft® Windows® Operating System
    50. InternalName: cdaudio.sys
    51. OriginalFilename: cdaudio.sys
    52. LegalCopyright: © Microsoft Corporation. All rights reserved.
    53. ProductVersion: 5.1.2600.0
    54. FileVersion: 5.1.2600.0 (XPClient.010817-1148)
    55.
    56. =========================
    57.
    58. "c:\WINDOWS\system32\dllcache\changer.sys" [ ----AC---- | 8192 ]
    59. TC: 11/06/2010,23:23:39 | TM: 13/04/2008,20:40:58 | DA: 13/06/2010,19:13:25
    60. MD5: DENIED
    61.
    62.
    63. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    64.
    65. =========================
    66.
    67. "c:\WINDOWS\ServicePackFiles\i386\changer.sys" [ ----N---- | 8192 ]
    68. TC: 13/04/2008,20:40:58 | TM: 13/04/2008,20:40:58 | DA: 22/04/2010,19:23:36
    69. MD5: DENIED
    70.
    71.
    72. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    73.
    74. =========================
    75.
    76. "c:\WINDOWS\ServicePackFiles\i386\secdrv.sys" [ ----N---- | 20480 ]
    77. TC: 13/04/2008,18:39:15 | TM: 13/04/2008,18:39:15 | DA: 22/04/2010,19:24:31
    78. MD5: 90a3935d05b494a5a39d37e71f09a677
    79.
    80.
    81. CompagnyName: Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.
    82. ProductName: Macrovision SECURITY Driver
    83. InternalName: SECDRV
    84. OriginalFilename: SECDRV.SYS
    85. LegalCopyright: © 2006 Macrovision Corporation
    86. ProductVersion: SECURITY Driver 4.03.086 2006/09/13
    87. FileVersion: 4.03.086
    88.
    89. =========================
    90.
    91. "c:\WINDOWS\$NtServicePackUninstall$\secdrv.sys" [ ----C---- | 27440 ]
    92. TC: 06/10/2008,20:42:23 | TM: 05/08/2004,14:00:00 | DA: 22/04/2010,19:20:11
    93. MD5: d26e26ea516450af9d072635c60387f4
    94.
    95.
    96.
    97. =========================
    98.
    99. "d:\WINDOWS\system32\drivers\cdaudio.sys" [ ----A---- | 18688 ]
    100. TC: 17/08/2001,23:52:30 | TM: 05/08/2004,14:00:00 | DA: 22/04/2010,19:47:16
    101. MD5: c1b486a7658353d33a10cc15211a873b
    102.
    103.
    104. CompagnyName: Microsoft Corporation
    105. ProductName: Microsoft® Windows® Operating System
    106. InternalName: cdaudio.sys
    107. OriginalFilename: cdaudio.sys
    108. LegalCopyright: © Microsoft Corporation. All rights reserved.
    109. ProductVersion: 5.1.2600.0
    110. FileVersion: 5.1.2600.0 (XPClient.010817-1148)
    111.
    112. =========================
    113.
    114. "d:\WINDOWS\system32\drivers\secdrv.sys" [ ----A---- | 11973 ]
    115. TC: 05/08/2004,14:00:00 | TM: 26/07/2005,18:12:07 | DA: 22/04/2010,19:47:18
    116. MD5: 72dffa33f8ed1c847075eee2c1e790ee
    117.
    118.
    119. CompagnyName: Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.
    120. ProductName: Macrovision SECURITY Driver
    121. InternalName: SECDRV
    122. OriginalFilename: SECDRV.SYS
    123. LegalCopyright: © 2003 Macrovision Corporation
    124. ProductVersion: SECURITY Driver 3.22.000 2004/01/16
    125. FileVersion: 3.22.000
    126.
    127. =========================
    128.
    129. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    130.
    131. Aucun dossier trouvé
    132.
    133.
    134. ====== Entrée(s) du registre ======
    135.
    136.
    137.
    138.
    139.
    140.
    141.
    142. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Secdrv]
    143. "ImagePath"="system32\DRIVERS\secdrv.sys"
    144.
    145. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Secdrv]
    146. "ImagePath"="system32\DRIVERS\secdrv.sys"
    147.
    148. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Secdrv]
    149. "ImagePath"="system32\DRIVERS\secdrv.sys"
    150.
    151. =========================
    152.
    153. Fin à: 22:56:08 le 13/06/2010 ( E.O.F )




    14 Juin 2010 00:00:56

    re,


    il me faut ce rapport de Combofix ... mais possible qu'il n'est pas pas être élaboré ...

    regarde si tu as ce rapport > C:\log.txt
    14 Juin 2010 18:16:02

    rien du tout...
    j'ai un dossier Qoobox ou il y a des ss dossiers mais de fichier txt,
    les AD-Report, rapport clean avi et mbam-error. rien d'autre...
    14 Juin 2010 18:17:26

    je recommence le processus?
    14 Juin 2010 18:20:14

    hello,


    pas grave ... on va faire autrement ...


    mais avant , savoir si Combo à fait une partie du job ...


    Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    14 Juin 2010 18:41:14

    impossible d'aller sur ci joint : redirigé vers 500online. Le Serveur DNS de votre fournisseur d'acces ne fonctionne PAS. pourtant je peux aller sur google, ebay...
    14 Juin 2010 18:44:22

    par contre des que j'utilise ZHPDIAG, AVIRA s'affole avec toujours les memes choses, j'ignore...
    14 Juin 2010 19:52:22

    je vois que dans "mes documents" apparaissent 3 fichiers type "enregistrement dans le registre" ont ils une importance? ils ont été enregistrer hier soir en meme temps que combo fix fonctionnait je crois...
    14 Juin 2010 19:53:32

    bien ...



    on va procéder ainsi :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Fcopy::
    c:\WINDOWS\system32\dllcache\cdaudio.sys | C:\ske1.bak
    c:\WINDOWS\ServicePackFiles\i386\changer.sys | C:\ske2.bak
    c:\WINDOWS\ServicePackFiles\i386\secdrv.sys | C:\ske3.bak

    Fmove::
    C:\ske1.bak | C:\WINDOWS\system32\drivers\Cdaudio.sys
    C:\ske2.bak | C:\WINDOWS\system32\drivers\Changer.sys
    C:\ske3.bak | C:\WINDOWS\system32\drivers\secdrv.sys

    File::
    C:\WINDOWS\System32\drivers\OLD2C.tmp
    C:\WINDOWS\System32\drivers\OLD20.tmp
    C:\Documents And Settings\LocalService\Application Data\qcopjv.dat




  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...




    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    14 Juin 2010 20:10:57

    rien, aucun rapport ne s'affiche automatiquement, rien dans c: une fois les operations achevé, le pc redemarre et voila...
    AVIRA se reactive automatiquement après le reboot. Cela pose probleme?
    14 Juin 2010 20:27:05

    re,


    Cela pose probleme?


    pas forcemenent ... il emets des alertes au redémarrage ? ... sinon il faut le couper dès que possible ...


    Histoire de voir si Combo à fait quelque chose :


    Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    14 Juin 2010 20:53:46

    Pas d'alerte au redemarrage apres combofix.
    par contre a chaque fois que je scann avec ZHPdiag, j'ai le droit a toutes les alertes d'antivir sur les memes fichiers que d'habitude et l'analyse bloque systematiquement sur c:\program files\fichiers communs\wise installation wizard

    Donc j'arrete et recommence en deconnectant AVIRA, voici le dernier rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijm6WIk...
    14 Juin 2010 21:09:19

    re,


    Combo a fait une parti du job ... onavance ...



    dans l'ordre :


    1- Réutilise SEAF ,


    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    cdaudio.sys,changer.sys

  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    =========================

    2- Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...

    désactive AntiVir le temps de cette manipe .

    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\Program Files\Fichiers Communs\Wise Installation Wizard



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )



    ===========================

    3- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O44 - LFC:[MD5.19C8FB7AE0C7F10453AAFDA8DEBAE559] - 13/06/2010 - 18:13:30 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\OLD2C.tmp [772096]
    O44 - LFC:[MD5.19C8FB7AE0C7F10453AAFDA8DEBAE559] - 13/06/2010 - 18:13:26 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\OLD20.tmp [772096]
    O61 - LFC:Last File Created 11/06/2010 - 22:26:58 ---A- C:\Documents And Settings\LocalService\Application Data\qcopjv.dat [12]



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ===============================

    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    14 Juin 2010 21:33:43

    Voila les infos

    Rapport SEAF :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 21:12:11 le 14/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. cdaudio.sys
    8. changer.sys
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Affichage des ADS
    12. (!) --- Informations supplémentaires
    13.
    14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. "c:\WINDOWS\system32\drivers\cdaudio.sys" [ ----A---- | 18688 ]
    17. TC: 17/08/2001,23:52:30 | TM: 17/08/2001,21:52:30 | DA: 14/06/2010,19:59:48
    18. MD5: c1b486a7658353d33a10cc15211a873b
    19.
    20.
    21. CompagnyName: Microsoft Corporation
    22. ProductName: Microsoft® Windows® Operating System
    23. InternalName: cdaudio.sys
    24. OriginalFilename: cdaudio.sys
    25. LegalCopyright: © Microsoft Corporation. All rights reserved.
    26. ProductVersion: 5.1.2600.0
    27. FileVersion: 5.1.2600.0 (XPClient.010817-1148)
    28.
    29. =========================
    30.
    31. "c:\WINDOWS\system32\drivers\Changer.sys" [ ----A---- | 772096 ]
    32. TC: 11/06/2010,23:23:39 | TM: 14/06/2010,21:14:32 | DA: 14/06/2010,21:14:32
    33. MD5: DENIED
    34.
    35.
    36. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    37.
    38. =========================
    39.
    40. "c:\WINDOWS\system32\dllcache\cdaudio.sys" [ ----C---- | 18688 ]
    41. TC: 17/08/2001,23:52:30 | TM: 17/08/2001,21:52:30 | DA: 14/06/2010,19:59:47
    42. MD5: c1b486a7658353d33a10cc15211a873b
    43.
    44.
    45. CompagnyName: Microsoft Corporation
    46. ProductName: Microsoft® Windows® Operating System
    47. InternalName: cdaudio.sys
    48. OriginalFilename: cdaudio.sys
    49. LegalCopyright: © Microsoft Corporation. All rights reserved.
    50. ProductVersion: 5.1.2600.0
    51. FileVersion: 5.1.2600.0 (XPClient.010817-1148)
    52.
    53. =========================
    54.
    55. "c:\WINDOWS\system32\dllcache\changer.sys" [ ----AC---- | 8192 ]
    56. TC: 11/06/2010,23:23:39 | TM: 13/04/2008,20:40:58 | DA: 13/06/2010,19:13:25
    57. MD5: DENIED
    58.
    59.
    60. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    61.
    62. =========================
    63.
    64. "c:\WINDOWS\ServicePackFiles\i386\changer.sys" [ ----N---- | 8192 ]
    65. TC: 13/04/2008,20:40:58 | TM: 13/04/2008,20:40:58 | DA: 22/04/2010,19:23:36
    66. MD5: DENIED
    67.
    68.
    69. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    70.
    71. =========================
    72.
    73. "c:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\Cdaudio.sys.vir" [ ----A---- | 772096 ]
    74. TC: 17/08/2001,23:52:30 | TM: 13/06/2010,19:49:23 | DA: 14/06/2010,18:32:54
    75. MD5: 19c8fb7ae0c7f10453aafda8debae559
    76.
    77.
    78.
    79. =========================
    80.
    81. "d:\WINDOWS\system32\drivers\cdaudio.sys" [ ----A---- | 18688 ]
    82. TC: 17/08/2001,23:52:30 | TM: 05/08/2004,14:00:00 | DA: 13/06/2010,22:55:11
    83. MD5: c1b486a7658353d33a10cc15211a873b
    84.
    85.
    86. CompagnyName: Microsoft Corporation
    87. ProductName: Microsoft® Windows® Operating System
    88. InternalName: cdaudio.sys
    89. OriginalFilename: cdaudio.sys
    90. LegalCopyright: © Microsoft Corporation. All rights reserved.
    91. ProductVersion: 5.1.2600.0
    92. FileVersion: 5.1.2600.0 (XPClient.010817-1148)
    93.
    94. =========================
    95.
    96. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    97.
    98. Aucun dossier trouvé
    99.
    100. =========================
    101.
    102. Fin à: 21:14:33 le 14/06/2010 ( E.O.F )



    RAPPORT SYSTEM LOOK :

    ystemLook v1.0 by jpshortstuff (11.01.10)
    Log created at 21:18 on 14/06/2010 by sylvain (Administrator - Elevation successful)

    ========== dir ==========

    C:\Program Files\Fichiers Communs\Wise Installation Wizard - Parameters: "(none)"

    ---Files---
    WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI --a--- 3965440 bytes [12:14 02/10/2008] [12:14 02/10/2008]

    ---Folders---
    None found.

    -=End Of File=-



    RAPPORT ZHPFIX


    ZHPFix v1.12.3105 by Nicolas Coolman - Rapport de suppression du 14/06/2010 21:23:16
    Fichier d'export Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    c:\windows\system32\drivers\old2c.tmp => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\old20.tmp => Supprimé et mis en quarantaine
    c:\documents and settings\localservice\application data\qcopjv.dat => Supprimé et mis en quarantaine

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 3
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 0


    End of the scan


    rapport ZHPDIAG :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijjsO7t...

    Bon courage et merci encore
    14 Juin 2010 21:49:28

    bon ...


    la bête se relance au niveau du driver Changer.sys



    on reprends :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Fcopy::
    c:\WINDOWS\system32\dllcache\changer.sys | c:\skeA.bak

    Fmove::
    c:\skeA.bak | c:\WINDOWS\system32\drivers\Changer.sys

    FileLook::
    C:\Program Files\Fichiers Communs\Wise Installation Wizard\WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI




  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ================================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    14 Juin 2010 21:53:20

    Nouvelle detection du meme cheval de troie dans fichier : Dans le fichier 'C:\System Volume Information\_restore{D1ADEFE7-D0B1-4D26-AE34-33305A00C860}\RP541\A0065666.sys'.

    Je fais de suite la nouvelle procedure demandée...
    14 Juin 2010 22:33:29

    Re,

    Pour la détection , rien de grave , c'est dans "la restauration systeme" ( donc inactif tant que tu ne restaures pas )

    pénible de ne pas avoir de rapport Combo ! ...



    on continue :


    Dans un premier temps, SEAF de nouveau :


    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    Changer.sys,WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

    14 Juin 2010 22:44:16

    Vraiement une sale bete ce virus !

    le probleme avec combofix c'est que des que le travail se termine le pc reboot automatiquement. dans c: , il n'y a que cette icone qui ressemble a poste de travail est qui se nomme combofix quand je clique dessus je retombe sur poste de travail est les differents lecteurs...

    Voici le rapport :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 22:34:45 le 14/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. Changer.sys
    8. WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Affichage des ADS
    12. (!) --- Informations supplémentaires
    13.
    14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. "c:\WINDOWS\system32\drivers\Changer.sys" [ ----A---- | 772096 ]
    17. TC: 11/06/2010,23:23:39 | TM: 14/06/2010,22:37:15 | DA: 14/06/2010,22:37:15
    18. MD5: DENIED
    19.
    20.
    21. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    22.
    23. =========================
    24.
    25. "c:\WINDOWS\system32\dllcache\changer.sys" [ ----AC---- | 8192 ]
    26. TC: 11/06/2010,23:23:39 | TM: 13/04/2008,20:40:58 | DA: 13/06/2010,19:13:25
    27. MD5: DENIED
    28.
    29.
    30. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    31.
    32. =========================
    33.
    34. "c:\WINDOWS\ServicePackFiles\i386\changer.sys" [ ----N---- | 8192 ]
    35. TC: 13/04/2008,20:40:58 | TM: 13/04/2008,20:40:58 | DA: 22/04/2010,19:23:36
    36. MD5: DENIED
    37.
    38.
    39. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
    40.
    41. =========================
    42.
    43. "c:\Program Files\Fichiers communs\Wise Installation Wizard\WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI" [ ----A---- | 3965440 ]
    44. TC: 02/10/2008,14:14:07 | TM: 02/10/2008,14:14:07 | DA: 14/06/2010,21:58:23
    45. MD5: c965fb5de22797ae029a6b2581b06f23
    46.
    47.
    48.
    49. =========================
    50.
    51. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    52.
    53. Aucun dossier trouvé
    54.
    55. =========================
    56.
    57. Fin à: 22:37:17 le 14/06/2010 ( E.O.F )
    14 Juin 2010 23:15:49

    re,



    on va reprendre ... dans l'ordre :




    1- Supprime la version de ComboFix que tu as ainsi :


    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....




    PS : si cela ne fonctionne pas , supprime manuellement ....


    =========================


    2- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\Program Files\Fichiers communs\Wise Installation Wizard\WISF860F39078F44B458C1A0489618E315B_5_5_2307.MSI

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    PS : désactive AntiVir si il t'emmerde ...

    =============================



    3- Télécharge ComboFix depuis ce lien :

    > http://www.cijoint.fr/cj201006/cij1TsUDdd.zip

    * enregistre l'archive sur ton bureau.
    * extrait son contenu ( ske.exe ) sur ton bureau.

    ske.exe est en fait l'outil Combofix préalablement renommé .



    A- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :



    File::
    c:\WINDOWS\system32\drivers\Changer.sys

    Fcopy::
    c:\WINDOWS\ServicePackFiles\i386\changer.sys | c:\skeB.bak

    Fmove::
    c:\skeB.bak | c:\WINDOWS\system32\drivers\changer.sys




  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    B- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )





    14 Juin 2010 23:41:26

    Dernier post pour ce soir, j'espere a demain. bonne soirée et merci

    touours la meme chose : le fichier txt n'existe pas dans c: mais un nouvel icone SKE s'est créé qui est un icone poste de travail...


    voici le rapport VIRUS TOTAL : Fichier WISF860F39078F44B458C1A0489618E31 reçu le 2010.06.14 21:21:04 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 0/41 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.26 2010.06.14 -
    AhnLab-V3 2010.06.14.02 2010.06.14 -
    AntiVir 8.2.2.6 2010.06.14 -
    Antiy-AVL 2.0.3.7 2010.06.11 -
    Authentium 5.2.0.5 2010.06.14 -
    Avast 4.8.1351.0 2010.06.14 -
    Avast5 5.0.332.0 2010.06.14 -
    AVG 9.0.0.787 2010.06.14 -
    BitDefender 7.2 2010.06.14 -
    CAT-QuickHeal 10.00 2010.06.14 -
    ClamAV 0.96.0.3-git 2010.06.14 -
    Comodo 5101 2010.06.14 -
    DrWeb 5.0.2.03300 2010.06.14 -
    eSafe 7.0.17.0 2010.06.14 -
    eTrust-Vet 36.1.7632 2010.06.14 -
    F-Prot 4.6.0.103 2010.06.14 -
    F-Secure 9.0.15370.0 2010.06.14 -
    Fortinet 4.1.133.0 2010.06.14 -
    GData 21 2010.06.14 -
    Ikarus T3.1.1.84.0 2010.06.14 -
    Jiangmin 13.0.900 2010.06.14 -
    Kaspersky 7.0.0.125 2010.06.14 -
    McAfee 5.400.0.1158 2010.06.14 -
    McAfee-GW-Edition 2010.1 2010.06.14 -
    Microsoft 1.5802 2010.06.14 -
    NOD32 5196 2010.06.14 -
    Norman 6.04.12 2010.06.14 -
    nProtect 2010-06-14.02 2010.06.14 -
    Panda 10.0.2.7 2010.06.14 -
    PCTools 7.0.3.5 2010.06.14 -
    Prevx 3.0 2010.06.14 -
    Rising 22.51.06.01 2010.06.13 -
    Sophos 4.54.0 2010.06.14 -
    Sunbelt 6447 2010.06.14 -
    Symantec 20101.1.0.89 2010.06.14 -
    TheHacker 6.5.2.0.298 2010.06.12 -
    TrendMicro 9.120.0.1004 2010.06.14 -
    TrendMicro-HouseCall 9.120.0.1004 2010.06.14 -
    VBA32 3.12.12.5 2010.06.14 -
    ViRobot 2010.6.14.3884 2010.06.14 -
    VirusBuster 5.0.27.0 2010.06.14 -
    Information additionnelle
    File size: 3965440 bytes
    MD5...: c965fb5de22797ae029a6b2581b06f23
    SHA1..: e7074b73430e624ba06f347270c0cdb863205767
    SHA256: 7668de9cfb365159622fbbd1b03e182daa562a467fbc8f2a682909afb76323ed
    ssdeep: 49152:D jr/LTM3ihdYarPb5nzpkQqrHb6eFNPNz5/Z37L3JkHlS9m2w8Qfo:0Tar
    P9zmTDb3ZLJkc9mB8V

    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Microsoft Windows Installer (99.1%)
    Generic OLE2 / Multistream Compound File (0.8%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    15 Juin 2010 00:00:12

    pas sur que sur le precedent message l'analyse ai été au bout :

    2 eme analyse :

    Fichier WISF860F39078F44B458C1A0489618E31 reçu le 2010.06.14 21:45:59 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 0/41 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.26 2010.06.14 -
    AhnLab-V3 2010.06.14.02 2010.06.14 -
    AntiVir 8.2.2.6 2010.06.14 -
    Antiy-AVL 2.0.3.7 2010.06.11 -
    Authentium 5.2.0.5 2010.06.14 -
    Avast 4.8.1351.0 2010.06.14 -
    Avast5 5.0.332.0 2010.06.14 -
    AVG 9.0.0.787 2010.06.14 -
    BitDefender 7.2 2010.06.14 -
    CAT-QuickHeal 10.00 2010.06.14 -
    ClamAV 0.96.0.3-git 2010.06.14 -
    Comodo 5102 2010.06.14 -
    DrWeb 5.0.2.03300 2010.06.14 -
    eSafe 7.0.17.0 2010.06.14 -
    eTrust-Vet 36.1.7632 2010.06.14 -
    F-Prot 4.6.0.103 2010.06.14 -
    F-Secure 9.0.15370.0 2010.06.14 -
    Fortinet 4.1.133.0 2010.06.14 -
    GData 21 2010.06.14 -
    Ikarus T3.1.1.84.0 2010.06.14 -
    Jiangmin 13.0.900 2010.06.14 -
    Kaspersky 7.0.0.125 2010.06.14 -
    McAfee 5.400.0.1158 2010.06.14 -
    McAfee-GW-Edition 2010.1 2010.06.14 -
    Microsoft 1.5802 2010.06.14 -
    NOD32 5196 2010.06.14 -
    Norman 6.04.12 2010.06.14 -
    nProtect 2010-06-14.02 2010.06.14 -
    Panda 10.0.2.7 2010.06.14 -
    PCTools 7.0.3.5 2010.06.14 -
    Prevx 3.0 2010.06.14 -
    Rising 22.51.06.01 2010.06.13 -
    Sophos 4.54.0 2010.06.14 -
    Sunbelt 6447 2010.06.14 -
    Symantec 20101.1.0.89 2010.06.14 -
    TheHacker 6.5.2.0.298 2010.06.14 -
    TrendMicro 9.120.0.1004 2010.06.14 -
    TrendMicro-HouseCall 9.120.0.1004 2010.06.14 -
    VBA32 3.12.12.5 2010.06.14 -
    ViRobot 2010.6.14.3884 2010.06.14 -
    VirusBuster 5.0.27.0 2010.06.14 -
    Information additionnelle
    File size: 3965440 bytes
    MD5...: c965fb5de22797ae029a6b2581b06f23
    SHA1..: e7074b73430e624ba06f347270c0cdb863205767
    SHA256: 7668de9cfb365159622fbbd1b03e182daa562a467fbc8f2a682909afb76323ed
    ssdeep: 49152:D jr/LTM3ihdYarPb5nzpkQqrHb6eFNPNz5/Z37L3JkHlS9m2w8Qfo:0Tar
    P9zmTDb3ZLJkc9mB8V

    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Microsoft Windows Installer (99.1%)
    Generic OLE2 / Multistream Compound File (0.8%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    15 Juin 2010 00:08:36

    re,


    Citation :
    touours la meme chose : le fichier txt n'existe pas dans c: mais un nouvel icone SKE s'est créé qui est un icone poste de travail...


    > tu peux me montrer une capture d'écran de cette étrangeté stp ( regade cette astuce pour le faire > http://www.commentcamarche.net/faq/5606-montrer-une-cop... )


    Puis refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    A deamin donc ... ;) 
    15 Juin 2010 00:26:42

    bizard ce "ske" en icone poste de travaille ...
    fait moi le parvenir via Cijoint pour voir ...


    A demain avec le rapport ZHPDiag ...
    15 Juin 2010 18:25:21

    de retour,

    Alors, voici la copie ecran de SKE.
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijaxJsM...

    Le rapport ZHPDIAG :
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijXCSuJ...

    un message d'erreur critique windows qui est apparu :

    BCCode : 19 BCP1 : 00000020 BCP2 : 859FEA08 BCP3 : 859FEE20
    BCP4 : 1A830002 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

    voila, sinon un technicien est venu chez moi ce jour pour des parametres sur ma box, il m'a dit Microsoft security essentiel et malwarebytres pouvait resoudre le probleme? quant est il?

    15 Juin 2010 19:14:23

    re,


    Citation :
    voila, sinon un technicien est venu chez moi ce jour pour des parametres sur ma box, il m'a dit Microsoft security essentiel et malwarebytres pouvait resoudre le probleme? quant est il?


    Il est gentil le monsieur ... :lol: 

    Je ne sais pas si tu t'en rappel , mais MBAM à fait choux blanc ... et n'importe quel antivirus va shooter le driver certes, mais ton PC va tourner de travers car ce dernier est essentiel pour Windwos ... donc il faut nettoyer et réparer en même temps ...


    ======================================

    envoit carrément ce SKE via Cijoint stp ... fait passé le lien ...


    ensuite utilise cet autre outil de diag stp :


    Télécharge OTL de OLDTimer sur ton bureau :

    http://oldtimer.geekstogo.com/OTL.exe


    > Double clique sur OTL.exe pour le lancer .

    Une fois l'outil ouvert,
  • Coche les 2 cases Lop et Purity .
  • Coche la case en haut devant tous les utilisateurs
  • Copie/colle le texte si dessous dans l'encadré blanc " personnaliser " :

    /md5start
    61883.sys
    aec.sys
    alcan5wn.sys
    alcaudsl.sys
    ac97ali.sys
    asyncmac.sys
    atmarpc.sys
    avc.sys
    camdrl.sys
    ccdecode.sys
    Cdaudio.sys
    Changer.sys
    dmusic.sys
    driverhardwarev2.sys
    drmkaud.sys
    Fdc.sys
    Flpydisk.sys
    ip6fw.sys
    ipfltdrv.sys
    ipinip.sys
    irenum.sys
    jl2005c.sys
    kmixer.sys
    lbrtfdc.sys
    expasag.sys
    mpe.sys
    msdv.sys
    mskssrv.sys
    mspclock.sys
    mspqm.sys
    mstee.sys
    nabtsfec.sys
    ndisip.sys
    nwlnkflt.sys
    nwlnkfwd.sys
    pcampr5.sys
    pcandis5.sys
    PCIDump.sys
    pcouffin.sys
    PDCOMP.sys
    PDFRAME.sys
    PDRELI.sys
    PDRFRAME.sys
    camdrl21.sys
    lv302v32.sys
    pixmcvc.sys
    pixmcva.sys
    pixmcvv.sys
    RDPWD.sys
    Serial.sys
    Sfloppy.sys
    slip.sys
    splitter.sys
    capt905c.sys
    streamip.sys
    swmidi.sys
    TDPIPE.sys
    TDTCP.sys
    toshidpt.sys
    tosrfbd.sys
    tosrfbnp.sys
    tosrfhid.sys
    tosrfnds.sys
    tosrfsnd.sys
    tosrfusb.sys
    mstsched.sys
    embda.sys
    emoem.sys
    usbaapl.sys
    usbscan.sys
    usbser.sys
    usbstor.sys
    WDICA.sys
    wstcodec.sys
    wudfpf.sys
    wudfrd.sys
    /md5stop



    Ne touche à rien d'autre .

    ! Déconnecte toi et ferme toutes applications en cours !

    > Clique sur Analyse pour lancer le scan et laisse travailler l'outil ...

    A la fin, 2 rapports s'ouvrent avec le Bloc-Notes et sont sauvegardés sur le bureau :"OTL.txt" et "Extras.txt"

    > poste les via "Cijoint" et attends la suite ...






    15 Juin 2010 20:17:50

    re,

    Impossible de t'envoyer SKE par Cijoint le format n'est pas reconnu :

    14 Mo ? ... qu'est-ce que c'est que ce truc ... laisse courrir pour le moment ...


    fait ceci stp :



    Relance OTL .

    * Coche les 2 cases Lop et Purity .

    * Coche la case devant "Tous les utilisateurs"

    * Copie / colle le texte en citation ci-dessous dans l'encadré blanc " Personnalisation " ( et rein d'autre ! ) :


    :Files
    C:\WINDOWS\system32\drivers\Changer.sys
    C:\WINDOWS\system32\drivers\changer.sys|C:\WINDOWS\ServicePackFiles\i386\changer.sys /replace

    :Commands
    [purity]
    [emptytemp]
    [Reboot]



    * Ne touche à aucun autre réglage.

    ! Déconnecte toi, désactive ton antivirus et ferme toutes tes applications en cours ! ( navigateurs compris )

    > clique cette fois sur le bouton [correction] pour lancer le nettoyage .

    > laisse travailler l'outil et ne touche à rien .
    lors qu'un petite fenêtre s'ouvrira : clique sur " Yes " pour que le PC redémarre de lui même et ainsi finir la suppression ...

    Note : Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTL , accepte ( pour que l'outil finisse son boulot ... ).

    A la fin , le rapport appaitra , poste le dans ta prochaine réponse pour > analyse ...

    Ce rapport est en aoutre sauvegardé dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


    Pense a réactiver tes défenses !



    15 Juin 2010 20:48:24

    pour SKE le probleme n'est pas la taille mais le format du fichier. c'est un truc vraiment space. ca me renvoie sur les lecteur du poste de travail....

    De plus toujours message lors du redemarrage : Le système a récupéré d'une erreur sérieuse.

    BCCode : 19 BCP1 : 00000020 BCP2 : 857E5000 BCP3 : 857E5418
    BCP4 : 1A830000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1


    J'aime moyen, je sais pas ce que c'est...

    Voici le nouveau rapport :

    All processes killed
    ========== FILES ==========
    File move failed. C:\WINDOWS\system32\drivers\Changer.sys scheduled to be moved on reboot.
    Unable to replace file: C:\WINDOWS\system32\drivers\changer.sys with C:\WINDOWS\ServicePackFiles\i386\changer.sys without a reboot.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41 bytes

    User: LocalService
    ->Temp folder emptied: 115616 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 398276 bytes

    User: sylvain
    ->Temp folder emptied: 51562 bytes
    ->Temporary Internet Files folder emptied: 29191308 bytes
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 5349 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2134506 bytes
    %systemroot%\System32 .tmp files removed: 2833408 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 348281 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 34,00 mb


    OTL by OldTimer - Version 3.2.6.0 log created on 06152010_203949

    Files\Folders moved on Reboot...
    File move failed. C:\WINDOWS\system32\drivers\Changer.sys scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
        • 1 / 3
        • 2
        • 3
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS