Se connecter / S'enregistrer
Votre question

[Résolu] PC qui agit seul, infection récurante, rootkit coriace

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Avril 2010 06:27:32

Bonjour à tous.
J'ai besoin de votre aide pour un problème d'infection sur mon ordinateur. :( 

Je vous explique rapidement : j'ai été infecté par MalwareDoctor, le faux antivirus. Je l'ai supprimé à la barbare :o  , lui et tout ce que j'ai pu trouver, Avira n'ayant pu le faire, mais il se trouve qu'il me reste encore quelques problèmes :


  • Lorsque je navigue sur le web, parfois des pages s'ouvrent, pointant vers des sites polonais. Dans l'URL de ces sites se trouvent après le slash les mots que j'ai tapé dernièrement dans ma recherche Google :sweat:  (quelque chose du genre ma+recherche+google), au millieu d'autres caractères.

  • J'ai 16 processus svchost.exe d'ouverts ! (voir image plus bas)

  • Avira et MalwareBytes me détectent un rootkit sous System32/drivers, mais ils déclarent ne pas pouvoir supprimer le fichier, même après un redémarrage, car "un périphérique lié au fichier ne fonctionne pas correctement", qu'ils disent. :heink: 

  • Si je laisse les sites qui s'ouvrent tout seuls (premier tiret) se charger, Firefox se bloque et un message d'avertissement s'affiche en anglais pour me demander de scanner mon système. Je sais que si je clique, je serais de nouveau infecté par MalwareDoctor, alors je ferme le processus de Firefox quand ça m'arrive. J'ai beau bloquer ces sites avec l'astuce du fichier hosts, mais à chaque fois c'est un site différent (mais du même hébergeur : xorg.pl) qui s'ouvre ! :fou: 

  • Il y a deux minutes, un faux antivirus ressemblant à MalwareDoctor m'a fait une fausse analyse. J'ai éteint mon PC de peur de me refaire niquer. :pfff: 

  • Explorer.exe ferme parfois, et ce sans raisons apparente !

  • Enfin, Avira et MalwareBytes ont tout de même réussi à me retirer une quinzaine de trojans, programmes malveillants, et clées de registre infectées, mais il reste toujours ce rootkit dans un fichier du driver !


    Dites-moi si vous avez besoin d'un rapport HiJackThis ou autre, mais en tout cas moi j'ai besoin de votre aide. On ne sait jamais, j'ai peur pour mes documents, mes mots de passe, et mon PC ! En plus c'est vraiment chiant... :o 

    Pouvez-vous m'aider s'il-vous-plaît ? Je vous en remercie d'avance !

    Merci de m'avoir lu.
    Karabulle ~

    Capture d'écran de mon gestionnaire des tâches
  • Autres pages sur : resolu agit seul infection recurante rootkit coriace

    30 Avril 2010 08:59:40

    Hello,


    ces rogues s'invitent la plus part du temps avec un rootkit ( TDSS ou TDL3 ) .... :p 



    Poste moi le rapport de Malwarebytes que tu as obtenu stp ainsi que celui d' AntiVir ...


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par ceci pour avoir un diagnostique précis de la situation :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    30 Avril 2010 10:52:39

    Salut sKe69 !

    Déjà, je te remercie de me proposer ton aide ! :wahoo: 
    Je te joins ici comme demandé les rapports d'Avira et de MalewaresByte :

    ----------------------------------------------------------------------------------------------------------

    Rapport Avira du 30 avril :

    Avira AntiVir Personal
    Date de création du fichier de rapport : vendredi 30 avril 2010 09:12

    La recherche porte sur 2059229 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows Vista
    Version de Windows : (Service Pack 2) [6.0.6002]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : PC-DE-RAPHAËL

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:38:18
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:42:01
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:24:51
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:34:10
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 18:07:42
    VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 18:07:42
    VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 18:07:43
    VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 18:07:43
    VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 18:07:43
    VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 18:07:43
    VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 18:07:43
    VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 18:07:43
    VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 18:07:43
    VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 17:50:25
    VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 17:50:27
    VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 17:50:34
    VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 17:50:38
    VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 17:50:43
    VBASE019.VDF : 7.10.6.233 2048 Bytes 28/04/2010 17:50:43
    VBASE020.VDF : 7.10.6.234 2048 Bytes 28/04/2010 17:50:43
    VBASE021.VDF : 7.10.6.235 2048 Bytes 28/04/2010 17:50:43
    VBASE022.VDF : 7.10.6.236 2048 Bytes 28/04/2010 17:50:43
    VBASE023.VDF : 7.10.6.237 2048 Bytes 28/04/2010 17:50:43
    VBASE024.VDF : 7.10.6.238 2048 Bytes 28/04/2010 17:50:43
    VBASE025.VDF : 7.10.6.239 2048 Bytes 28/04/2010 17:50:43
    VBASE026.VDF : 7.10.6.240 2048 Bytes 28/04/2010 17:50:43
    VBASE027.VDF : 7.10.6.241 2048 Bytes 28/04/2010 17:50:44
    VBASE028.VDF : 7.10.6.242 2048 Bytes 28/04/2010 17:50:44
    VBASE029.VDF : 7.10.6.243 2048 Bytes 28/04/2010 17:50:44
    VBASE030.VDF : 7.10.6.244 2048 Bytes 28/04/2010 17:50:44
    VBASE031.VDF : 7.10.6.254 153600 Bytes 29/04/2010 17:50:43
    Version du moteur : 8.2.1.224
    AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 17:50:37
    AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23/04/2010 17:50:37
    AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 15:36:22
    AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 17:50:38
    AERDL.DLL : 8.1.4.6 541043 Bytes 15/04/2010 18:09:18
    AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:58:20
    AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 18:36:38
    AEHEUR.DLL : 8.1.1.24 2613623 Bytes 15/04/2010 18:08:58
    AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 17:50:20
    AEGEN.DLL : 8.1.3.7 373106 Bytes 15/04/2010 18:07:54
    AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 17:50:37
    AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 17:50:20
    AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:50:36
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 20/02/2010 18:27:27
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : vendredi 30 avril 2010 09:12

    La recherche d'objets cachés commence.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\type
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\start
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\errorcontrol
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\group
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\swtwa2k4
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\nx7yd6rbu6
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cvvwd\jub6rj3qb1
    [INFO] L'entrée d'enregistrement n'est pas visible.
    '104603' objets ont été contrôlés, '7' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PwdBank.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Wallpaper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PdtWzd.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'eAudio.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'eDSLoader.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RS_Service.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SchedulerSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'BackupSvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'BASVC.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ETService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CLHNService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Agentsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'vfsFPService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CompPtcVUI.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '69' processus ont été contrôlés avec '69' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '45' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <ACER>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Windows\System32\drivers\cvvwd.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\' <Données>

    Début de la désinfection :
    C:\Windows\System32\drivers\cvvwd.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK


    Fin de la recherche : vendredi 30 avril 2010 10:23
    Temps nécessaire: 1:02:57 Heure(s)

    La recherche a été effectuée intégralement

    24435 Les répertoires ont été contrôlés
    447716 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    4 Impossible de contrôler des fichiers
    447711 Fichiers non infectés
    2894 Les archives ont été contrôlées
    4 Avertissements
    3 Consignes
    104603 Des objets ont été contrôlés lors du Rootkitscan
    7 Des objets cachés ont été trouvés




    ----------------------------------------------------------------------------------------------------------

    Rapport MalewaresByte du 30 avril :

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4048

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18904

    30/04/2010 09:27:45
    Rapport MalwareBytes du 30 avril

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 109166
    Temps écoulé: 6 minute(s), 12 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\cvvwd.sys (Rootkit.Agent) -> No action taken.



    ----------------------------------------------------------------------------------------------------------

    Et enfin, je te poste le lien pour le rapport de ZHPDiag (j'ai du le scinder en trois car cijoint voulait pas me l'uploader en entier, même pas en deux parties :o  :fou:  , j'ai pas compris pourquoi en fait, j'espère que ça ne gêne pas).

    Partie 1
    Partie 2
    Partie 3

    Voilà ! Encore merci sKe69 ;) 
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    30 Avril 2010 11:02:59

    re,

    recommence stp ... tu n'as pas fait ceci pour utiliser l'outil > cliquer droit / "executer en tant qu'admin..."

    du coup il me manque pas mal d'info dans le rapport ....


    Poste moi le nouveau rapport ZHPDiag obtenu pour analyse ...
    30 Avril 2010 11:54:07

    Voilà, j'ai recommencé. Tout à l'heure, je l'ai laissé s'exécuter automatiquement après l'installation, donc sans les droits d'administrateur.

    Par contre, je suis très embarrassé, parce que depuis vingt minutes j'essaye sur différents sites d'hébergement de fichier, mais IMPOSSIBLE pour moi d'uploader quoi que ce soit. J'ai quand même réussi à hoster les parties 1 et 2 du rapport, le reste je ne peux même pas le coller, malheureusement. Je suis désolé, mais je ne sais pas quoi faire là. C'est tout de même très bizarre que je ne puisse plus rien uploader. Il me rapporte une erreur quand j'essaye, peu importe le site... De plus mon clavier déconne beaucoup, il fait des retours à la ligne tout seul alors que je suis en pleine phrase, alors bref, je vais quitter un peu l'ordi, ça me détendra. Je reposte dès que j'ai trouvé une solution pour te fournir le rapport en entier.


    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


    Les deux premières parties du rapport complet, même si c'est un peu inutile du coup.


    Partie 1

    Partie 2


    Voilà, je suppose que pour l'instant tu ne peux rien faire. Mais je vais faire de mon mieux pour te donner ce rapport ! Au pire, je t'envoie le fichier texte par mail si tu le souhaite.
    30 Avril 2010 12:03:38

    Re,


    laisse tomber Cijoint ; l'infection semble entraver le bon fonctionnemnt de certain site d'uplaod ... :pt1cable: 


    essaye cet autre site pour voir > http://www.sendspace.com/


    copie/colle moi le lien obtenu si cela a fonctionné ...


    si cela foire également , on avisera ... ;) 

    30 Avril 2010 13:35:26

    Je t'avoue que c'est à n'y rien comprendre !!! :pt1cable: 

    Alors j'ai réussi à uploader le rapport complet... En enlevant de ce rapport la partie 044 - Fichiers crées ou modifiés dans Windows et System32 !

    Bizarre ??! :heink:  Même seule, cette partie ne veut pas s'uploader, firefox me dit que la page s'est réinitialisée et qu'il ne peux plus accéder à la page lorsque je tente un upload de cette partie !
    Quelque chose qui contrôle mes uploads ?? Je sais c'est farfellu comme explication mais j'en vois pas d'autre [:_slash]
    En tout cas ça marche, je peux te fournir le rapport, ensuite je te colle la petite partie qui manque.

    On y arrive ! :wahoo: 


    Rapport (une partie manquante)
    30 Avril 2010 13:38:26

    J'hallucine !!!!!!!

    Même quand je veux te la coller ici, ça me renvoie à une erreur !!!

    On va passer au système D ! Je vais devoir te faire un screenshot de cette partie alors... Ca sera pas aisé à lire peut-être, mais au moins tu auras cette partie qui veut pas se montrer !


    Et voilà le lien vers l'image de cette partie manquante... Enfin ! http://j.imagehost.org/view/0028/Screenshot_de_la_parti...

    J'ai fait comme j'ai pu, j'espère que ça ira :) 
    30 Avril 2010 13:55:08

    Bien ....




    on va commencer à "taper dedans" ... [:boxe]




    fais ce qui suit dans l'ordre :


    1- protocole à suivre pour Windows Vista :

  • Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaine ...


    ==============================

    2- Important :
    Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;)  ) :
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

    ou de celui-ci > http://www.genproc.com/spybot/spybot.html

    En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

    Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
    /!\ Mais attention :
    à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
    -> il faudra alors les accepter toutes sans exeptions !

    Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

    =========================


    3- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\Windows\System32\drivers\cvvwd.sys
    O64 - Services: CurCS - (.not file.) - cvvwd (cvvwd) .(.Pas de propriétaire - Pas de description.) - LEGACY_CVVWD
    MBRFix



    > Puis Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    =============================


    4- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Déconnecte toi et ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit / "executer en tnat qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    30 Avril 2010 14:58:39

    Et voilà, j'ai lancé le fix et ComboFix, et tout semble s'être déroulé normalement.

    Je te poste les logs !

    --------------------------------------------

    ComboFix

    ComboFix 10-04-29.05 - Raphaël 30/04/2010 14:24:32.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.2134 [GMT 2:00]
    Lancé depuis: c:\users\Raphaël\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-146301603-2792954983-1221445578-500
    c:\users\Raphaël\AppData\Local\tlbvguavv
    c:\users\Raphaël\AppData\Local\tlbvguavv\atagxtbtssd.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-28 au 2010-04-30 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-30 12:35 . 2010-04-30 12:35 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-04-30 08:23 . 2010-04-30 08:23 -------- d-----w- c:\windows\Profiles
    2010-04-30 07:05 . 2010-04-30 12:06 -------- d-----w- c:\program files\ZHPDiag
    2010-04-28 20:01 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-28 20:01 . 2010-04-28 20:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-04-28 20:01 . 2010-04-28 20:01 -------- d-----w- c:\programdata\Malwarebytes
    2010-04-28 20:01 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-28 18:17 . 2010-04-28 18:17 -------- d-----w- c:\program files\directx
    2010-04-28 18:16 . 2010-04-28 18:16 -------- d-----w- c:\program files\Rockstar Games
    2010-04-27 12:37 . 2010-04-27 12:37 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
    2010-04-27 12:37 . 2010-04-27 12:37 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
    2010-04-27 12:37 . 2010-04-27 12:37 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
    2010-04-27 12:29 . 2010-04-30 05:25 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-04-27 12:29 . 2010-04-27 16:07 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-04-26 22:16 . 2010-04-26 23:20 -------- d-----w- c:\programdata\PC Tools
    2010-04-26 20:38 . 2010-04-26 20:38 -------- d-----w- c:\program files\VideoLAN
    2010-04-18 14:08 . 2010-04-18 14:08 -------- d-----w- c:\program files\GoldWave
    2010-04-15 15:01 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-04-15 15:01 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-04-15 15:01 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-04-15 15:01 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-04-15 15:01 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-04-15 15:01 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-04-15 15:01 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-04-15 15:01 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
    2010-04-15 15:01 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
    2010-04-14 13:52 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
    2010-04-14 13:52 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
    2010-04-13 21:36 . 2010-04-13 21:37 -------- d-----w- c:\program files\NetDog
    2010-04-02 03:13 . 2010-04-02 03:13 -------- d--h--w- c:\windows\PIF
    2010-04-02 01:10 . 2010-04-02 01:10 -------- d-----w- c:\program files\Conduit
    2010-03-31 23:54 . 2010-03-31 23:54 -------- d-----w- C:\Games
    2010-03-31 23:34 . 2010-03-31 23:34 -------- d-----w- C:\SIERRA
    2010-03-31 18:33 . 2010-04-05 21:56 -------- d-----w- c:\program files\Clonk Endeavour

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-30 12:36 . 2009-07-28 14:32 12 ----a-w- c:\windows\bthservsdp.dat
    2010-04-30 12:29 . 2008-01-21 08:40 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-30 12:29 . 2008-01-21 08:40 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-28 18:16 . 2008-03-21 10:33 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-04-26 23:49 . 2009-06-15 17:33 -------- d-----w- c:\program files\Winamp
    2010-04-13 16:21 . 2009-08-08 17:43 -------- d-----w- c:\program files\Google
    2010-04-11 20:32 . 2009-08-15 06:57 -------- d-----w- c:\program files\Vuze
    2010-04-09 20:56 . 2009-07-27 16:33 -------- d-----w- c:\program files\Windows Live Safety Center
    2010-03-25 20:19 . 2010-03-25 20:19 -------- d-----w- c:\program files\OpenOffice.org 3
    2010-03-24 14:42 . 2010-03-24 14:42 -------- d-----w- c:\programdata\Souptoys
    2010-03-24 14:42 . 2010-03-24 14:42 -------- d-----w- c:\program files\Souptoys
    2010-03-23 12:12 . 2010-03-23 12:12 1 ----a-w- c:\windows\system32\SI.bin
    2010-03-15 17:31 . 2010-03-15 17:31 -------- d-----w- c:\program files\JoWood
    2010-03-07 19:39 . 2009-06-15 17:31 -------- d-----w- c:\program files\CCleaner
    2010-02-24 08:16 . 2009-10-02 16:42 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-23 06:39 . 2010-03-31 07:10 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-23 06:33 . 2010-03-31 07:10 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-02-23 06:33 . 2010-03-31 07:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-02-23 04:55 . 2010-03-31 07:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-02-20 23:06 . 2010-03-11 17:05 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-02-20 23:05 . 2010-03-11 17:05 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-02-20 20:53 . 2010-03-11 17:05 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2010-02-12 10:32 . 2010-03-09 12:15 293376 ----a-w- c:\windows\system32\browserchoice.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
    @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
    [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
    2008-03-04 22:38 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Wallpaper"="c:\program files\Wallpaper\Wallpaper.exe" [2007-08-20 233472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-04 1037608]
    "eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-04 526896]
    "eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-03-07 544768]
    "ZPdtWzdVitaKey MC3000"="c:\program files\Acer\Acer Bio Protection\PdtWzd.exe" [2008-06-28 3673600]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
    2008-06-28 08:25 3130368 ----a-w- c:\program files\Acer\Acer Bio Protection\WinNotify.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Acer VCM.lnk
    backup=c:\windows\pss\Acer VCM.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
    backup=c:\windows\pss\BTTray.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKLM\~\startupfolder\C:^Users^Raphaël^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
    path=c:\users\Raphaël\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
    backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-03-08 03:38 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcadeDeluxeAgent]
    2008-04-25 17:44 147456 ------w- c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
    2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
    2008-04-25 19:36 28672 ----a-w- c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
    2008-04-25 17:44 167936 ------w- c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
    2009-09-03 21:17 3342336 ----a-w- c:\program files\Electronic Arts\EADM\Core.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
    2008-01-21 02:25 125952 ----a-w- c:\windows\ehome\ehtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
    2008-05-09 12:07 397312 ----a-w- c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
    2007-10-03 12:44 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
    2008-04-28 11:18 809480 ----a-w- c:\progra~1\LAUNCH~1\LManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]
    2007-12-12 07:50 107248 ----a-w- c:\program files\OrangeHSS\SessionManager\SessionManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]
    2008-05-12 15:28 167936 ------w- c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetI]
    2007-10-23 08:56 200704 ----a-w- c:\windows\PLFSetI.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
    2008-03-11 09:53 5296128 ----a-w- c:\windows\RtHDVCpl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
    2008-01-21 10:17 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
    2008-01-29 07:03 303104 ----a-w- c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
    2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):43,02,a5,37,60,81,ca,01

    R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [x]
    R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [x]
    R2 ejdtanhx;AMD K8 Processor Helper;c:\windows\System32\svchost.exe [2008-01-21 21504]
    R2 gupdate1ca184fbcfface0;Service Google Update (gupdate1ca184fbcfface0);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-08 133104]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
    R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [x]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-11-04 691696]
    S0 AlfaFF;AlfaFF File System mini-filter;c:\windows\system32\Drivers\AlfaFF.sys [2008-06-28 43184]
    S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl [2008-05-02 61424]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]
    S2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-01-16 81504]
    S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-03-21 24576]
    S2 IGBASVC;iGroupTec Service;c:\program files\Acer\Acer Bio Protection\BASVC.exe [2008-06-28 3488768]
    S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056]
    S2 NTIPPKernel;NTIPPKernel;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys [2008-01-16 122368]
    S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072]
    S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2008-01-10 233472]
    S2 vfsFPService;Validity Fingerprint Service;c:\windows\system32\vfsFPService.exe [2008-04-27 599344]
    S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-12-18 54784]
    S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-11 84240]
    S3 vfs101x;vfs101x;c:\windows\system32\drivers\vfs101x.sys [2008-04-27 40752]


    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - cvvwd

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ejdtanhx
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-08 17:43]

    2010-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-08 17:43]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://fr.fr.acer.yahoo.com
    mStart Page = hxxp://fr.fr.acer.yahoo.com
    uInternet Settings,ProxyServer = http=127.0.0.1:5555
    uInternet Settings,ProxyOverride = <local>
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    Trusted Zone: mappy.com
    Trusted Zone: orange.fr
    Trusted Zone: voila.fr\rw.search.ke
    Trusted Zone: weborama.fr\orange
    FF - ProfilePath - c:\users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\wu0jpk52.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig
    FF - component: c:\users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\wu0jpk52.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - component: c:\users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\wu0jpk52.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\FFExternalAlert.dll
    FF - component: c:\users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\wu0jpk52.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}\components\RadioWMPCore.dll
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    ShellIconOverlayIdentifiers-{E285F4C0-D371-46A0-B64C-F0114502DE80} - (no file)
    HKCU-Run-fsm - (no file)
    HKLM-Run-eRecoveryService - (no file)
    MSConfigStartUp-ezLife - ualkscrf.dll
    MSConfigStartUp-newupdate1142C - c:\users\Raphaël\AppData\Roaming\7433B982498AA635548D4832CE713579\newupdate1142C.exe
    MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-30 14:38
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85795EE4]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x8a7a3d24
    \Driver\ACPI -> acpi.sys @ 0x80695d68
    \Driver\atapi -> ataport.SYS @ 0x807d7a2c
    \Driver\iaStor -> iaStor.sys @ 0x80746002
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
    "ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cvvwd]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-146301603-2792954983-1221445578-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:ae,eb,76,87,51,86,ee,d4,22,16,14,5a,03,59,d7,09,be,e5,1f,88,1a,c4,3d,
    30,cd,f8,27,0d,f6,af,78,88,e5,c2,7b,fb,ee,cd,ed,79,2a,80,0c,c3,14,f3,05,54,\
    "??"=hex:7d,9b,64,51,a1,9f,48,10,5d,b7,59,0f,0f,da,85,11

    [HKEY_USERS\S-1-5-21-146301603-2792954983-1221445578-1000\Software\SecuROM\License information*]
    "datasecu"=hex:18,8c,5b,84,ed,14,63,fc,f1,57,6e,11,13,c4,36,4d,a9,eb,2b,ea,09,
    7f,e1,c0,9a,71,f5,2e,d4,3a,ca,01,14,96,c4,e2,82,05,e5,cb,3e,c4,38,e8,3d,2e,\
    "rkeysecu"=hex:4d,5e,cf,fc,a3,15,bd,3c,0b,a8,e2,6d,d5,75,3a,71

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(2940)
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
    c:\windows\system32\btncopy.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Acer\Acer Bio Protection\CompPtcVUI.exe
    c:\windows\system32\agrsmsvc.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\acer\Mobility Center\MobilityService.exe
    c:\program files\Cyberlink\Shared files\RichVideo.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\windows\system32\conime.exe
    c:\program files\Acer\Acer Bio Protection\PwdBank.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-30 14:46:46 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-30 12:46

    Avant-CF: 43 878 350 848 octets libres
    Après-CF: 43 705 491 456 octets libres

    - - End Of File - - 13E162E1A8FDDA9F46AB26E03055FB0C


    ---------------------------------------------------------------------------------------------------------------------------------------

    ZHPFix

    ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 30/04/2010 14:06:03
    Fichier d'export Registre : C:\ZHPExportRegistry-30-04-2010-14-06-03.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


    Processus mémoire :
    C:\Windows\System32\drivers\cvvwd.sys => Fichier absent

    Module mémoire :
    (Néant)

    Clé du Registre :
    O64 - Services: CurCS - (.not file.) - cvvwd (cvvwd) .(.Pas de propriétaire - Pas de description.) - LEGACY_CVVWD => Clé supprimée avec succès

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    (Néant)

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85E33EE4]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x853771f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 1
    Module mémoire : 0
    Clé du Registre : 1
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 0
    Logiciel : 0
    Master Boot Record : 19
    Autre : 0


    End of the scan


    Merci encore de m'aider :hello: 
    30 Avril 2010 15:34:49

    bon,


    c'était à prévoir .... la bestiole s'accroche ....



    avant de poursuivre , il me faut d'autre ainfo ...


    fait ceci :


    1- Télécharge gmer sur le bureau :

    http://cjoint.com/?eEpGyAQOqA

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Clique droit / "executer en tant qu'admin..." sur ..._gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options décoche Section, IAT/EAT, & Device ( touche à rien d'autre )
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...


    ============================

    2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    30 Avril 2010 20:03:07

    Re ! :) 

    Encore merci à toi !

    Voici le log d'UsbFix :

    ############################## | UsbFix V6.110 |

    User : Raphaël (Administrateurs) # PC-DE-RAPHAËL
    Update on 29/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 19:51:37 | 30/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18904
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 111,44 Go (46,56 Go free) [ACER] # NTFS
    D:\ -> Disque fixe local # 104,9 Go (93,59 Go free) [Données] # NTFS
    E:\ -> Disque amovible # 249,7 Mo (209,96 Mo free) # FAT
    F:\ -> Disque CD-ROM
    G:\ -> Disque amovible # 1,86 Go (21,56 Mo free) [USB DISK] # FAT
    H:\ -> Disque amovible # 1,9 Go (1,11 Go free) # FAT
    I:\ -> Disque amovible # 240,89 Mo (240,88 Mo free) [LECTEUR MP3] # FAT32

    ################## | Elements infectieux |

    C:\Windows\Tasks\At1.job
    C:\Windows\Tasks\At2.job
    C:\Windows\Tasks\At3.job
    C:\Windows\Tasks\At4.job
    C:\Windows\Tasks\At5.job
    C:\Windows\Tasks\At6.job
    C:\Windows\Tasks\At7.job
    C:\Windows\Tasks\At8.job
    C:\Windows\Tasks\At9.job
    C:\Windows\Tasks\At1.job
    C:\Windows\Tasks\At10.job
    C:\Windows\Tasks\At11.job
    C:\Windows\Tasks\At12.job
    C:\Windows\Tasks\At13.job
    C:\Windows\Tasks\At14.job
    C:\Windows\Tasks\At15.job
    C:\Windows\Tasks\At16.job
    C:\Windows\Tasks\At17.job
    C:\Windows\Tasks\At18.job
    C:\Windows\Tasks\At19.job
    C:\Windows\Tasks\At2.job
    C:\Windows\Tasks\At20.job
    C:\Windows\Tasks\At21.job
    C:\Windows\Tasks\At22.job
    C:\Windows\Tasks\At23.job
    C:\Windows\Tasks\At24.job
    C:\Windows\Tasks\At3.job
    C:\Windows\Tasks\At4.job
    C:\Windows\Tasks\At5.job
    C:\Windows\Tasks\At6.job
    C:\Windows\Tasks\At7.job
    C:\Windows\Tasks\At8.job
    C:\Windows\Tasks\At9.job
    C:\Windows\System32\E285F4C0-D371-46A0-B64C-F0114502DE80.txt
    C:\Users\RAPHAL~1\AppData\Local\E285F4C0-D371-46A0-B64C-F0114502DE80.txt
    C:\Users\RAPHAL~1\AppData\Roaming\lowsec\local.ds
    C:\Users\RAPHAL~1\AppData\Roaming\lowsec\user.ds
    C:\Users\RAPHAL~1\AppData\Roaming\lowsec

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.110 ! |







    Et maintenant le log de GMER :) 

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-04-30 19:41:26
    Windows 6.0.6002 Service Pack 2
    Running: eEpGyAQOqA_gmer.exe; Driver: C:\Users\RAPHAL~1\AppData\Local\Temp\kwtdykoj.sys


    ---- System - GMER 1.0.15 ----

    SSDT 81B6696C ZwCreateThread
    SSDT 81B66958 ZwOpenProcess
    SSDT 81B6695D ZwOpenThread
    SSDT 81B66967 ZwTerminateProcess

    ---- Services - GMER 1.0.15 ----

    Service (*** hidden *** ) [BOOT] cvvwd <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001fe2f088a4
    Reg HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001fe2f088a4@0017e839d747 0x79 0x57 0xE6 0x5C ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\cvvwd@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\cvvwd@Start 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\cvvwd@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\cvvwd@Group Boot Bus Extender
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x36 0x8D 0x4F 0xAC ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x32 0x94 0xE4 0xF8 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xA3 0x9C 0xC7 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x99 0xA3 0x9C 0xC7 ...
    Reg HKLM\SYSTEM\ControlSet003\Services\BthPort\Parameters\Keys\001fe2f088a4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\BthPort\Parameters\Keys\001fe2f088a4@0017e839d747 0x79 0x57 0xE6 0x5C ...
    Reg HKLM\SYSTEM\ControlSet003\Services\cvvwd@Type 1
    Reg HKLM\SYSTEM\ControlSet003\Services\cvvwd@Start 0
    Reg HKLM\SYSTEM\ControlSet003\Services\cvvwd@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\cvvwd@Group Boot Bus Extender
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x36 0x8D 0x4F 0xAC ...
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x32 0x94 0xE4 0xF8 ...
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xA3 0x9C 0xC7 ...
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x99 0xA3 0x9C 0xC7 ...

    ---- EOF - GMER 1.0.15 ----






    Voilà ! J'espère pouvoir me débarrasser de ce truc... Y'a pas de risque qu'il reste accroché, si ? :sweat: 
    30 Avril 2010 22:46:59

    re,



    on continue ....


    dans l'ordre :


    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Clique droit / "executer en tnat qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


    =============================


    2- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cvvwd]

    Driver::
    cvvwd
    ejdtanhx

    Rootkit::
    C:\Windows\System32\drivers\cvvwd.sys

    NetSvc::
    ejdtanhx

    RegLock::
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

    AtJob::



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    3- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    1 Mai 2010 11:43:32

    Salut

    J'aurais besoin de tes conseils, parce qu'au démarrage de mon PC, Avira me détecte la même menace "cheval de troie TR/Crypt.ZPACK.Gen" dans plein de fichier différents ! Est-ce que c'est par rapport à ce que j'ai dû faire plus haut, ou il faut s'inquièter ? Moi pour l'instant, j'ignore, mais je sais pas trop quoi faire !

    Sinon OK, je vais refaire les scans et te donner les rapports :) 
    1 Mai 2010 12:11:03

    Mince... J'ai suivi tes instructions pour USBFix, mais lorsque je lance la suppression, l'ordi se bloque et refuse de redémarrer...

    Sinon, je fais tout de suite la manip' ComboFix, ou il faut que ce soit fait dans l'ordre ?


    Je dois m'absenter, je ferais les manips' ce soir ! En espèrant qu'on va pouvoir régler le problème d'USBFix ! :) 
    1 Mai 2010 13:54:33

    re,


    tu es encore mega infecté ... normal qu'Avira tilte ... il serait bien que tu le désactive d'ailleurs pour fair eles manipe demandés !


    recommence la manipe d'UsbFix ( "en tant qu'admin..." ) et assure toit que les unités externes sont bien branchées au PC, pour les DD externes il faut qu'ils soient en route électriquement , et bien vérifié que rien ne soit protégé en écriture ....


    dis moi si cela a marché et poste moi le rapport obtenu ( ne fait rien d'autre si cela ne fonctionne toujours pas ) .
    1 Mai 2010 21:50:13

    Re sKe,

    Eh bien... Je viens de réessayer encore trois fois... Mais toujours rien. En fait, lorsque je lance la suppression de USBFix, sa fenêtre s'affiche avec une barre disant qu'il ferme les processus, mais arrivé à environ 20%, tout disparaît, tout, et mon écran devient "bizarre"... On voit les couleurs de mon fond d'écran mais l'image est toute "cassée", je sais pas comment t'expliquer ça. Et donc oui, l'ordinateur ne se redémarre même pas, et même en attendant une demie-heure rien ne se passe. Alors j'éteins l'ordi manuellement. :( 

    J'ai aussi essayé sous Windows en mode sans échec, mais cette fois au lieu que l'ordinateur se bloque, je vois un écran bleu de Windows, me disant qu'il me protège d'une action malveillante... Donc voilà, j'arrive pas à envoyer la suppression d'USBFix. :pfff: 

    Pourtant j'ai tout désactivé ! Windows Defender, Avira Guard (via le logiciel, car je ne suis "pas autorisé" à fermer le processus, et autres logiciels. J'ai coupé internet, tout, j'ai exécuté en temps qu'Admin, mais ça ne marche pas...

    Ahlala... Je suis désolé que ce soit la galère pour désinfecter mon PC ! :(  :sweat: 
    2 Mai 2010 09:04:24

    Re,


    passe à la manipe COMBOFIX directement .... et laisse bien tes unités externes branchées au PC lors de cette manipe ...

    j'attends le rapport obtenu ....
    2 Mai 2010 14:21:27

    Re !

    Voilà, j'ai fait la manipulation pour ComboFix.

    Par contre, nouille comme je suis, je me suis rendu compte que j'avais branché mes unités externes trop tard pour qu'elles soient prises en compte. Alors je me suis permis de refaire une nouvelle fois un rapport ComboFix, avec cette fois tout bien branché. Vu que les deux rapports sont différents, je te met les deux à disposition. Ils sont surtout différents au niveau des éléments supprimés, et dans le deuxième log dans cette catégorie on retrouve le maudit cvvwd.sys, j'espère que c'est bon signe !

    Voilà, je me suis permis de te les uploader sous CiJoint, ce sera surrement plus pratique que de les lire ici.

    Merci encore !

    Log sans les unités externes

    Log avec les unités externes
    2 Mai 2010 16:35:55

    Bien ....



    On va reprendre avec un nouveau CFScript ( en branchant tes unités externes ) ...





    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201005/cij42y0C1J.txt

  • Copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ... ( sauvegarde le bien sur le bureau )


    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    2 Mai 2010 19:14:58

    re,


    tu dois avoir un support amovible qui fou la merde .... combien en as tu et quels sont-ils ?


    dis moi malgré tout comment va le PC maintenant ... du mieux ?


    puis fait ceci ( en mode normal ) :


    Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin ..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    2 Mai 2010 19:58:12

    Alors, j'ai une vielle clé USB de 256Mo, une clé USB de 2Go, un vieux lecteur MP3 avec très peu de mémoire pareil, et une carte micro SD avec son adaptateur de 2Go. Ce sont les supports USB que j'ai utilisé dernièrement, je n'en ai même pas d'autre il me semble.

    Sinon, alors si le PC va mieux, eh bien vu que je l'utilise peu à cause de l'infection, je ne suis pas certain. J'ai vu des pages internet qui s'invitent toutes seules encore hier, et avec même une nouveauté, j'ai des pages de publicité qui s'ouvrent sur Internet Explorer que je n'utilise jamais. J'ai toujours mes processus svchost.exe suspects, ils sont 15 d'ouverts maintenant. Je ne pense pas que c'est normal, ça ? En tout cas ils ne me gênent pas je pense. Ils ne prennent pas de ressource, ou presque, juste de la mémoire.
    Je trouve que mon PC est lent au démarrage.

    Enfin en bref, je suis pas certain de l'état de mon PC, mais au moins il fonctionne bien et rien ne me gêne particulièrement ! Mais j'aimerais tout de même qu'il soit clean, car ça n'a pas l'air d'être encore ça. :) 

    Bon, je vais faire la manipulation d'Ad-Remover maintenant ! :) 
    2 Mai 2010 20:05:05

    Re,

    Quelles type de PUB stp ?

    j'attends le rapport de AD-R ...
    2 Mai 2010 20:23:40

    Voilà le rapport !

    Euuh... Je me souviens avoir eu une pub pour un casino en ligne une fois !

    Aussi, mon fichier hosts dont je me sert pour bloquer certains sites de publicité a été complètement effacé ! :sweat: 
    2 Mai 2010 20:37:48

    re,



    on continue ... reste encore un peu de boulot :



    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Clique droit / "executer en tant qu'admin ..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal clique cette fois sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    =============================

    2- Télécharge Lop S&D (de AngelDark & Eric71) :
    http://eric.71.mespages.googlepages.com/LopSD.exe
    ou ici http://eric71.geekstogo.com/tools/LopSD.exe

    ! Déconnecte-toi et ferme toutes tes applications en cours !

    Clique droit / "exécuter entant qu'admin..." sur l'.exe que tu viens de télécharger pour lancer l'outil .

    > tape [F] puis [entrée] pour avoir l'outil en français

    > Au menu principal, choisis l'option 1 (recherche) et valides.

    (Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

    Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.

    > Poste ce rapport dans ta prochaine réponse pour analyse .

    Tuto : http://eric.71.mespages.googlepages.com/lop.sd.exe
    2 Mai 2010 22:01:03

    bien





    1- supprime ce dossier et tout ce qu'il contient > C:\Program Files\DAEMON Tools Toolbar


    =========================

    2- Redésactive l'UAC car Lop l'a ré-activé :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517



    ==========================

    3- Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Clique droit executer en tant qu'admin .... sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\ProgramData\PlayMovie



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


    ==============================

    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    4 Mai 2010 18:32:31

    Salut sKe,

    Excuse-moi de te répondre tard mais j'ai de nouveau un plus gros problème avec mon PC... En fait, tout simplement, je n'y ai plus accès, et je vais t'expliquer comment :

    J'ai lu ton message et j'ai commencé à faire ce qu'il fallait faire. J'ai donc supprimé le dossier Daemon Tools Toolbar, puis j'ai remis le contrôle des comptes d'utilisateurs en place. L'ordinateur s'est redémarré, comme prévu, puis... Arrivé à l'écran où il me demandent mon mot de passe, l'ordinateur se bloque, l'écran aussi (de la même façon qu'il s'est bloqué quand j'avais voulu lancer USBFix, si tu veux je peux prendre une photo). Je ne peux plus y accéder donc, sauf en mode sans echec, mais même dans ce mode, je n'arrive pas à lancer de point de restauration, ou à faire réapparaitre la corbeille sur mon bureau (je l'ai toujours enlevée) pour pouvoir restaurer le dossier de Daemon, on ne sait jamais, au cas ou ça réglerait quelque chose.

    Et donc je demande ton aide pour pouvoir accéder de nouveau à mon ordinateur en mode normal, déjà... Là, je suis sur un PC que j'ai le temps de la désinfection du mien. Je peux donc s'il le faut télécharger des outils, les mettre sur clé USB et les exécuter en mode sans échec sur mon ordinateur. J'espère qu'on ne va pas être obligés de faire formater mon ordinateur !

    Donc maintenant je te demande... Que faire pour rétablir l'accès à mon PC en mode normal ?
    Je te remercie d'avance.
    4 Mai 2010 19:03:31

    re,


    Citation :
    Je peux donc s'il le faut télécharger des outils, les mettre sur clé USB et les exécuter en mode sans échec sur mon ordinateur



    trop risqué ! ... possible que tu infecte l'autre PC ...


    il faudrait que tu démarres en mode sans échec avec prise en charge du réseau ( afin d'avoir une connection internet ....)


    une fois dans ce mode , fais les étape 3 et 4 que je t'avais demandé dans la manipe précédente ....
    4 Mai 2010 20:12:18

    ... Jme sens bête, ça aurait pu marcher, mais ça ne va pas encore.

    Tout simplement, je ne peux pas me connecter à Internet, même avec la prise en charge réseau. Si tu veux, en fait, mon PC se connecte bien à la Livebox, mais elle refuse de le laisser se connecter à Internet car "l'ordinateur n'est pas configuré, authentifié pour accéder à Internet", quelque chose comme ça.

    J'ai essayé alors de le configurer avec le CD d'Orange, ça aurait pu marcher, mais non. L'installation se déroule correctement, je dis que je veux juste connecter un nouvel ordinateur à la Livebox, mais ça coince quand il me demande quel type de connexion je veux. Normalement, il devrait me proposer "connexion sans fil", mais il ne le fait pas ! Comme choix de connexion, j'ai juste "adaptateur WiFi Orange", mais d'une j'en ai pas, et de deux quand je choisi cela je ne peux même pas aller plus loin dans l'installation. La galère ! Et je ne sais pas comment éventuellement activer mon WiFi sur mon PC pour qu'il reconnaisse peut-être cette option, je n'ai pas de bouton pour ça, et je ne trouve pas d'option non plus sous Vista !

    Il devrait me le proposer bizarrement, car quand même en dehors de l'installation, l'ordinateur arrive à se connecter en WiFi à la Livebox, bien que ce soit en local seulement, à cause du problème d'identification cité plus haut.

    Je n'arrive donc toujours pas à me connecter à Internet avec mon PC... Qu'est-ce que je fais ?

    Excuse-moi pour les prises de tête, alors que tout devrait normalement fonctionner !

    Au fait, j'ai vu qu'en fait le contrôle des comptes utilisateurs n'était même pas rétabli, apparemment. Peut-être que c'est normal après tout, il n'a pas réussi à redémarrer.



    EDIT : je devrais peut-être essayer de connecter mon PC en Ethernet à la Livebox, et avec un peu de chance, peut-être qu'il reconnaîtrait cette option ?
    4 Mai 2010 20:26:26

    re,

    Citation :
    je devrais peut-être essayer de connecter mon PC en Ethernet à la Livebox



    c'est ce qu'il faut faire ... ;) 


    j'attends les rapports si cela a fonctionné ...
    4 Mai 2010 22:37:30

    J'ai l'impression que rien ne se passe comme il le faudrait :( 

    Je n'ai pas réussi à accéder à Internet :

    J'ai allumé mon PC en MSE avec prise en charge réseau, j'ai ensuite branché mon PC en Ethernet pour voir si ça marcherait, voir si la connexion se ferait directement par Ethernet. Ce n'était pas le cas. J'ai cherché à trouver une option pour modifier la connexion de façon à ce qu'elle se connecte via Ethernet et non via WiFi, je n'ai pas trouvé. J'ai donc décidé de lancer mon CD de configuration Orange, de "réinstaller" Internet comme tout à l'heure, pensant que l'option "utiliser une connexion Ethernet" s'afficherait maintenant qu'il est branché ainsi... Eh bien non. Je sais pas trop quoi faire du coup... Ptête que je fais ça de travers, mais j'y arrive pas.

    Le problème est donc toujours là. Pas d'accès au PC en mode normal. Pas d'accès internet sur mon PC en MSE prise en charge réseau.
    Que faire ? :( 
    4 Mai 2010 23:53:52

    re,

    désinstalle complètement les produit d' Orange ! c'est de la daube ... ( via leurs propre utilitaire de désinstalle et via le panneau de config )

    normalement , en branchant le cable éhternet du PC à la live box , tu devrais avoir ta connexion directe et FF ou IE devrait fonctionner ...

    Sinon créer un connexion ethernet toi même si il le faut , regarde ici , tout y est > http://www.porciello.com/adsl/


    dis moi si tu as accès à internet en mse avec prise en charge du réseau ...




    si les prb persiste , bah fait les manipes que je t'ai demandé , transfert les rapports avec ta clé USB sur l'autre PC pour me les faire parvenir ....



    ce qui est bisard , c'est qu'on avait nettoyer le PC et que ce dernier était clean ... tu n'aurais pas restauré le PC à une date antérieur au moins ? ....

    5 Mai 2010 15:57:10

    Ayé, j'ai les deux rapports !

    Je me suis servi d'une clé USB pour les transmettre malgré le risque, je n'ai pas réussi à activer Internet en mode MSE + réseau, j'ai même essayé les manipulations décrites sur ton site, mais l'ordi refuse de créer une connexion, mais le site signalait en rouge que cette manipulation n'était pas faisable sur les Livebox si j'ai bien compris :( 

    Bref, je te fournis les deux rapports :

    SystemLook
    Et ZHPDiag.

    Ah oui j'oubliais : non, je n'ai pas restauré de point !

    Voilà ! :) 
    5 Mai 2010 16:14:15

    vu,


    une de tes infections s'est relancé ! ....



    fait ce qui suit dans l'ordre :



    1- supprime la version de Combofix que tu as ainsi :


    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....


    ===============================

    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    MD5.A71863CEA7FCCAA23FCA6D323681B4CB] - (.Pas de propriétaire - Pas de description.) -- C:\Users\RAPHAL~1\AppData\Local\Temp\tdrn.exe
    O4 - HKLM\..\Run: [tdrn] . (.Pas de propriétaire - Pas de description.) -- C:\Users\RAPHAL~1\AppData\Local\Temp\tdrn.exe
    O4 - HKLM\..\RunServices: [tdrn] . (.Pas de propriétaire - Pas de description.) -- C:\Users\RAPHAL~1\AppData\Local\Temp\tdrn.exe


    > Puis Lance ZHPFix " en tant qu'admin..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    =================================


    3- On va reprendre avec la dernière version de Combofix et en mode normal de préférences !


    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit / "executer en tant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...







    5 Mai 2010 18:58:24

    Et voilà les deux rapports !

    Par contre pour ComboFix, j'espère que c'est rien mais d'une j'ai pas pu accéder au mode normal pour le lancer :( , et de deux ben la première fois que je l'ai lancé j'ai pas eu de rapport (il me semble qu'il a pas pu se terminer c'est bizarre), alors j'ai recommencé

    Jsuis un peu empoté moi :sweat: 

    ComboFix

    ZHPFix

    En espèrant que c'est bon ! :) 

    Pis aussi en espèrant que je pourrais retrouver un accès normal à mon PC un de ces jours :??: 
    5 Mai 2010 20:02:56

    re,


    Pis aussi en espèrant que je pourrais retrouver un accès normal à mon PC un de ces jours


    c'est pas dis pour le moment ... on a à faire à un file infector ....



    faire la manipe de Dr.Web CureIt! comme indiqué ici :
    > http://www.commentcamarche.net/faq/16138-comment-suppri...

    Poste moi le rapport obtenu pour analyse et attends la suite ...

    5 Mai 2010 23:27:38

    Encore une fois, rien ne s'est passé comme prévu !

    Je ne peux pas te fournir de rapport : déjà l'analyse s'est terminée par une erreur (un écran noir avec écrit "an unexpected error has occured", puis j'ai voulu quand même enregistrer un rapport : écran bleu de Windows tout juste après que j'aie cliqué.
    De plus, mon PC me dit qu'il n'arrive pas à redémarrer, et actuellement le Startup Repair essaye de faire quelque chose. Il a voulu me faire prendre un point de restauration d'ailleurs, mais j'ai dit non.

    Alors quand j'arriverais à redémarrer l'ordi, vu que tu a besoin d'un rapport, il faut que je t'en fasse un avec un logiciel ? A noter que Dr.Web m'a supprimé et mis en quarantaine pas mal de menaces (une cinquantaine). Je craint juste qu'il y soit allé un peu fort, et qu'il m'ait détruit des fichiers infectés mais indispensables à Windows, vu qu'il n'a pas l'air de redémarrer pour l'instant.

    Toujours des imprévus, ahlala...



    :ouch:  EDIT !!! Un grand merci ! Je peux de nouveau accéder à mon ordinateur en mode normal !!! Le temps que j'écrive mon message, il s'est redémarré normalement ! Vraiment super, maintenant j'ai hâte d'éradiquer complètement toutes ces infections :na:  ;) 
    6 Mai 2010 00:48:39

    re,


    poste moi le rapport de drWeb CureIt stp ....


    Puis Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    6 Mai 2010 23:33:56

    Re,

    Alors, malheureusement, pour le rapport de Dr.Web je ne peux pas t'en fournir, je t'ai dis, quand j'ai voulu l'enregistrer hier, Windows s'est arrêté avec l'écran bleu et une phrase disant que c'était pour me protéger d'une action suspecte. A tout hasard, j'ai refait un scan tout à l'heure avec ce logiciel pour pouvoir te fournir quelque chose, mais vu qu'il n'a rien trouvé, je ne peux même pas enregistrer de rapport (regarde la capture d'écran en dessous, l'option est grisée)

    Donc pas de rapport pour ce logiciel, j'espère que c'était pas trop important !



    Par contre, bien sûr, je te fournis le nouveau rapport de ZHPDiag !


    Voilà ! :hello: 



    Image :
    7 Mai 2010 01:00:35

    Bon ....


    On va faire sans le rapport de DR Web pour le moment ....



    fait ceci dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O43 - CFD:Common File Directory ----D- C:\Program Files\Alwil Software
    O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
    O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
    O43 - CFD:Common File Directory ----D- C:\programdata\PC Tools
    O63 - Logiciel: UsbFix - (.El Desaparecido.)
    O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
    O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT
    O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR
    O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
    O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
    O64 - Services: CurCS - (.not file.) - PCTSDInjDriver32 (PCTSDInjDriver32) .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTSDINJDRIVER32
    O64 - Services: CurCS - (.not file.) - TfFsMon (TfFsMon) .(.Pas de propriétaire - Pas de description.) - LEGACY_TFFSMON
    O64 - Services: CurCS - (.not file.) - TfNetMon (TfNetMon) .(.Pas de propriétaire - Pas de description.) - LEGACY_TFNETMON
    O64 - Services: CurCS - (.not file.) - TfSysMon (TfSysMon) .(.Pas de propriétaire - Pas de description.) - LEGACY_TFSYSMON
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfeavfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEAVFK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfebopk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEBOPK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK01
    O64 - Services: CurCS - (.not file.) - McAfee Inc. mferkdk (mferkdk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFERKDK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfesmfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFESMFK
    O64 - Services: CurCS - (.not file.) - MPFP (MPFP) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPFP
    [HKLM\Software\Conduit]
    [HKCU\Software\ALWIL Software]
    [HKLM\Software\ALWIL Software]
    [HKLM\Software\Tzrtwber]



    > Puis Lance ZHPFix " en tnat qu'admin..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==============================

    2- On va reprendre avec la dernière version d' UsbFix

    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
    7 Mai 2010 18:44:56

    re,


    la suite :



    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


    ===============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    7 Mai 2010 22:39:25

    Ooooh, non ! :( 

    Je ne sais pas ce qui cause cela, mais mon écran se bloque encore. Cette fois, c'est quand l'analyse ZHPDiag arrive à la fin...

    N'empêche que j'ai pu lancer le nettoyage d'USBFix cette fois. Voici le rapport.

    Pour ZHPDiag, je réessaye, et j'édite mon message si j'ai réussi
    7 Mai 2010 22:43:14

    vu


    n'édite pas, je risque de passer à côté ! ... :p 

    poste le lein du rapport dans ta prochaine réponse ...
    7 Mai 2010 22:48:08

    Oh, et bien je suis content, ça n'a pas recommencé.

    Après avoir coupé Internet, désactivé le Guard d'AntiVir, et lancé ZHPDiag normalement, le scan s'est effectué avec succès.

    Voici le lien :) 

    Mais, tu n'aurais pas idée de ce qui cause ça ? On dirait un bug de l'écran, mais ça n'arrive qu'à des moments précis, alors ce n'est pas un bug matériel !
    J'ai pris des photos d'ailleurs pour que tu puisse te faire une idée, tu veux que j'en poste une pour voir ?
    7 Mai 2010 22:49:48

    Re,

    recommence ZHPDiag stp et fait bien Clique droit / "executer en tant qu'admin ..." ! pour lancer l'outil ... ( sinon il me manque des informations ) .


    PS : c'est un ordi portable non ? ...
    7 Mai 2010 23:08:35

    re,


    Citation :
    c'est un ordinateur portable


    les écrans , c'est un probléme récurant sur les portables ... possible prb matériel donc ...




    1- supprime ComboFix ainsi :

    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....


    ============================


    2- on va réutiliser une dernière fois Malwarebytes pour voir :


    * mets le à jour .

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance une recherche :

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...




        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS