Se connecter / S'enregistrer
Votre question

[help] pc infecté par SROSA.SYS [Résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Décembre 2008 01:06:19

Bonjour les gens, ceci est mon 1er post sur ce forum, et c'est pour vous demander de l'aide car il m'est arrivé une chose à laquelle je ne croyais plus, mon pc m'échappe des mains !! :pt1cable:  Je suis sous Vista pro.

Tout s'est donc passé hier, en naviguant sur le net à la recherche de mp3 ou autres sur le parc Disneyland Paris. Au détour d'un site je clique sur un fichier nommé AdventureLand 1.6, et comme un schtroumpf je télécharge et j'installe...

30 secondes après c'est la cata : mes programmes se ferment, les services d'avast se désactivent l'un après l'autre...et le comble : ma session se ferme toute seule !!! le pc redémarre, et arrivé sur le bureau, un bel écran bleu ("irq not less equal"un truc de ce genre), un redémarrage plus tard, un autre écran bleu ("page area not found" de ce genre aussi...), puis aux autres redémarrages un écran bleu sans message particulier, et çà n'arrête pas depuis...Et il a même été jusqu'à me faire un test de mémoire au démarrage (pas d'erreurs détectées)
Ah oui j'ai oublié, beaucoup de mes programmes ne se lancent plus, le message d'erreur : "application win32 non valide" :??: 

Heureusement j'ai un programme de détection de virus de chez Norton, et hop il me trouve cela:
- menace Hacktool.rootkit (nom de la cible : srosa.sys)
- menace Trojan.skintrim (nom de la cible : nzwwesb.exe)
- risque de sécurité IEDEFENDER (nom de la cible : iedfix.exe)

Mais comme je n'ai pas le programme chargé de résoudre les problèmes, je ne peux aller plus loin...

Ah oui, j'ai évidemment fait ceci en mode sans échec, qui lui est stable.
J'ai aussi regardé dans les processus, il y en a des actifs que je ne peux pas arrêter ! : RpcSs (appel de procédure distante RPC), Cryptsvc (service de chiffrement), Winmgmt (infrastructure de gestion windows), KeyIso (isolation de clé CNG), service DComLaunch....


J'ai l'inquiétante impression que quelqu'un tente des malversations à distance, j'ai bon ?? :( 


J'ai pris soin de lancer Hijackthis dont voici le rapport, mais je ne trouve rien d'anormal, enfin je ne connais le programme qu'un petit peu donc...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21:57, on 16/12/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1173539207\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User 'Default user')
O4 - Global Startup: Exif Launcher S.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Windows\RaUI.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: FreshDownload - {5E93D468-385E-409B-A4BB-AB452DACADAD} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\Windows\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} -
O16 - DPF: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} (MetaStreamCtl Class) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDC5C968-26A4-48E4-BD98-E235C840A310}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\Windows\system32\UAService7.exe

--
End of file - 7266 bytes


Voila, merci d'avance à ceux qui voudront bien m'aider ;) 
-

Autres pages sur : help infecte srosa sys resolu

16 Décembre 2008 10:02:52

J'ai aussi oublié une chose : j'ai tenté plusieurs fois une restauration du système, à des dates différentes, mais le processus de restauration s'arrête en cours, avec ce message d'erreur : la restauration n'a pu aller à son terme, soit parce qu'elle est endommagée, soit parce qu'un programme en empêche son fonctionnement... :sarcastic: 
16 Décembre 2008 11:32:23

Je viens de faire ccleaner qui a un peu nettoyé ma base de registre (des programmes mal désinstallés...) mais çà n'a rien fait de plus je pense
Voici le log :

ANALYSE COMPLETE - (0.424 secs)
------------------------------------------------------------------------------------------
223,2MB ont été supprimés. (Taille approximative)
------------------------------------------------------------------------------------------

Détails des fichiers à supprimer (Note: AUCUN fichier n'a pour l'instant été supprimé)
------------------------------------------------------------------------------------------
Fichiers Temporaires d'Internet Explorer (fichiers 1) 32,00KB
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@adserver.aol[1].txt 107 bytes
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@aol[2].txt 227 bytes
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@fr.at.atwola[1].txt 108 bytes
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@my.screenname.aol[1].txt 111 bytes
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@neufportail[1].txt 147 bytes
C:\Users\Administrateur\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat 16,00KB
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\History\Low\History.IE5\desktop.ini
Marqué pour l'effacement: C:\Users\Administrateur\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat
C:\Windows\TEMP\478A3C00-F65D-444c-B0E9-6B75FCA1631F.txt 17 bytes
C:\Windows\TEMP\lpksetup-20081116-021705-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081116-021721-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081116-114852-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081116-114905-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081117-082715-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081117-082734-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081118-114812-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081118-114826-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081119-110731-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081119-110751-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081119-113249-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081119-113305-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081119-183243-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081119-183300-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081120-115623-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081120-115639-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081121-092554-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081121-092611-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081122-112044-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081122-112058-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081123-105224-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081123-105244-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081123-114740-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081123-114756-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081123-163952-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081123-164008-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081124-012914-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081124-012930-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081124-115710-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081124-115726-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081124-194819-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081124-194835-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081125-115337-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081125-115402-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081125-123144-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081125-123200-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081125-160650-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081125-160815-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081125-203810-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081125-204011-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081126-012053-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081126-012108-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-122513-0.log 17,68KB
C:\Windows\TEMP\lpksetup-20081130-122547-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-144145-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081130-144202-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-161016-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081130-161031-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-163838-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081130-163853-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-170702-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081130-170717-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081130-180429-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081130-180445-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081201-014604-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081201-014624-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081201-114531-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081201-114547-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081201-154613-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081201-154645-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081202-021815-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081202-021833-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081202-113600-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081202-113617-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081203-104735-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081203-104755-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081204-004500-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081204-004523-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081204-114609-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081204-114626-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081205-130902-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081205-130919-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081206-110359-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081206-110419-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081207-110313-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081207-110330-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081208-132519-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081208-132535-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081208-154523-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081208-154540-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081209-114537-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081209-114601-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081210-085828-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081210-085847-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081211-120922-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081211-120940-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081211-230901-0.log 18,12KB
C:\Windows\TEMP\lpksetup-20081211-230944-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081212-011517-0.log 19,14KB
C:\Windows\TEMP\lpksetup-20081212-011532-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081212-131038-0.log 19,14KB
C:\Windows\TEMP\lpksetup-20081212-131056-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081213-112601-0.log 19,14KB
C:\Windows\TEMP\lpksetup-20081213-112621-0.log 622 bytes
C:\Windows\TEMP\lpksetup-20081214-091127-0.log 19,14KB
C:\Windows\TEMP\lpksetup-20081214-091144-0.log 622 bytes
C:\Windows\TEMP\MpCmdRun.log 32,21KB
C:\Windows\TEMP\MpSigStub.log 37,40KB
C:\Windows\MEMORY.DMP 217,9MB
C:\Windows\MiniDump\Mini120508-01.dmp 0,13MB
C:\Windows\MiniDump\Mini120808-01.dmp 0,13MB
C:\Windows\MiniDump\Mini121108-01.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-01.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-02.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-03.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-04.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-05.dmp 0,13MB
C:\Windows\MiniDump\Mini121508-06.dmp 0,13MB
C:\Windows\MiniDump\Mini121608-01.dmp 0,13MB
C:\Windows\system32\wbem\Logs\FrameWork.log 2,77KB
C:\Windows\system32\wbem\Logs\wmiprov.log 40,65KB
C:\Windows\system32\wbem\Logs\wmiprov.lo_ 64,03KB
C:\Windows\DirectX.log 97,23KB
C:\Windows\DPINST.LOG 29,33KB
C:\Windows\msxml4-KB954430-enu.LOG 0,28MB
C:\Windows\PFRO.log 0,11MB
C:\Windows\setupact.log 35,07KB
C:\Windows\setuperr.log 0 bytes
C:\Windows\WindowsUpdate.log 1,44MB
C:\Windows\ntbtlog.txt 0,76MB
C:\Windows\Debug\mrt.log 9,38KB
C:\Windows\Debug\mrteng.log 5,09KB
C:\Windows\Debug\UserMode\ChkAcc.log 0 bytes
C:\Windows\Debug\UserMode\ChkAcc.bak 0 bytes
C:\Windows\security\logs\scecomp.old 234 bytes
C:\Users\Administrateur\AppData\Roaming\Macromedia\Flash Player\#Security\FlashPlayerTrust\AOL.cfg 37 bytes
C:\Users\Administrateur\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GVP00001\earth.google.com\datastore.swf\googleEarthSettings.sol 83 bytes
C:\Users\Administrateur\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 405 bytes
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{14BD45E5-0EBE-4348-AE3E-EDD089451379} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{18BE94F8-F83D-4FCF-94BF-F2687EE173C1} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{2E3945DC-007D-4256-A334-10798177B09D} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{2EFF4A7D-E3DF-4D12-A31D-CBD817978339} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{355FDF50-CA1D-4D78-9486-02EEFA37B85F} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{64C3BF8C-B5C6-4510-8251-948799EDD93C} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{6A01CE6C-9309-420B-8E99-EB157DB52BB2} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{82219F55-CDC1-4183-9CA2-A0ADD6341973} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{8EDD254C-8135-41F2-B37D-136E3F35B045} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{945CBE1C-63E2-4D99-B080-CC51D3DC1A1F} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{ABB7625D-66C5-4BED-8AF7-89354CCC7B2F} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{ABF50487-4303-40C1-9451-C24ECACBE42D} 5,43KB
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Quick\{EFE3C8EF-A84F-44BA-9401-8E376234EE83} 5,43KB
------------------------------------------------------------------------------------------


J'ai ensuite refait une analyse hijackthis donc voici le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:48:59, on 16/12/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\config\systemprofile\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User 'Default user')
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: FreshDownload - {5E93D468-385E-409B-A4BB-AB452DACADAD} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\Windows\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} -
O16 - DPF: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} (MetaStreamCtl Class) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDC5C968-26A4-48E4-BD98-E235C840A310}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 5902 bytes


Je ne sais pas s'il y a des choses à supprimer
J'ai entendu parler du programme blacklight f-secure, si quelqu'un sait si çà peut résoudre mon problème... :sarcastic: 
Contenus similaires
16 Décembre 2008 13:32:15

Autre chose : quand j'ouvre une session normalement, je n'ai plus d'écran bleu mais mes programmes de détection de virus et de spyware comme spybot ou hijackthis se ferment directement quand je clic pour ouvrir...Par contre en mode sans échec çà marche...

De plus, toute la sécurité de mon ordi est désactivée et impossible de la réactiver que ce soit en session user ou admin...

C'est à n'y rien comprendre, si quelqu'un peut me donner quelques pistes j'en serai reconnaissant.
16 Décembre 2008 21:33:49

Bon je viens de faire un scan complet avec Antivir

le log :



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 16 décembre 2008 18:51

La recherche porte sur 1038808 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows Vista
Version de Windows :( plain) [6.0.6000]
Mode Boot : Mode sans échec
Identifiant : Alexis
Nom de l'ordinateur :p C-DE-ALEXIS

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 16:57:13
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16/11/2008 16:16:47
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17/11/2008 16:38:59
Version du moteur: 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11/11/2008 14:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07/11/2008 15:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07/11/2008 15:06:41
AEHELP.DLL : 8.1.1.3 119157 Bytes 07/11/2008 15:06:41
AEGEN.DLL : 8.1.1.0 319859 Bytes 07/11/2008 15:06:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 07/11/2008 15:06:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Sélection manuelle
Fichier de configuration.........: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: A:, C:, D:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: élevé
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 16 décembre 2008 18:51

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'14' processus ont été contrôlés avec '14' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'A:\'
[INFO] Aucun support de données inséré dans le lecteur 'A:\' !
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '44' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'A:\'
Impossible d'ouvrir le chemin à contrôler A:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Program Files\AnalogX\Proxy\proxy.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/AnalogX.Proxy.A
[AVERTISSEMENT] Fichier ignoré.
C:\Users\Alexis\AppData\Roaming\drivers\srosa.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Fichier ignoré.
C:\Users\Alexis\OpenSSL\tp\bmail.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Emailer
[AVERTISSEMENT] Fichier ignoré.
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'E:\'


Fin de la recherche : mardi 16 décembre 2008 20:13
Temps nécessaire: 1:22:04 Heure(s)

La recherche a été effectuée intégralement

18057 Les répertoires ont été contrôlés
433845 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
433840 Fichiers non infectés
3935 Les archives ont été contrôlées
5 Avertissements
0 Consignes



et voici le log Hijackthis faisant suite :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:27, on 16/12/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\config\systemprofile\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User '?')
O4 - HKUS\.DEFAULT\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b (User 'Default user')
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: FreshDownload - {5E93D468-385E-409B-A4BB-AB452DACADAD} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\Windows\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} -
O16 - DPF: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} (MetaStreamCtl Class) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDC5C968-26A4-48E4-BD98-E235C840A310}: NameServer = 84.103.237.145 86.64.145.145
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 6228 bytes


Apparemment j'ai un Hacktool Rootkit (srosa.sys) qu'Antivir a detecté mais a ignoré :??: 

Que me conseillez vous ? Bonne soirée à vous
17 Décembre 2008 11:25:27

Bon il y a du nouveau, personne ne me répond mais je tiens le forum informé au cas où ce cas se présenterait pour quelqu'un, ce dont je n'espère pas car c'est vraiment galère !!!

Je suis donc resté sur la session où le problème était apparu (c'est redevenu stable, y'a plus du tout d'écran bleu), et j'ai lancé un scan ELIBAGLA dont voici le log :


Tue Dec 16 21:56:48 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Dec 16 21:57:06 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Dec 16 21:57:22 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Users\Alexis\AppData\Roaming\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)

Nº Total de Directorios: 18036
Nº Total de Ficheros: 122581
Nº de Ficheros Analizados: 15752
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1


On voit donc qu'il a repéré et éliminé SROSA.SYS
Or, en parcourant mon ordi, je vois qu'il est toujours au même emplacement, seul le nom a été modifié : srosa.sys >> srosa2.sys
Je pense que çà a suffi pour le désactiver mais je lance quand même par la suite un scan avec MALWAREBYTE'S Anti Malware (en l'ayant bien sûr au préalable mis à jour)

Voici le log


Tue Dec 16 21:56:48 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Dec 16 21:57:06 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Dec 16 21:57:22 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Users\Alexis\AppData\Roaming\drivers\SROSA.SYS --> Eliminado Bagle(rootkit)

Nº Total de Directorios: 18036
Nº Total de Ficheros: 122581
Nº de Ficheros Analizados: 15752
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Là je me dis, nickel, il a supprimé définitivement SROSA.SYS


Je termine par CCleaner qui me nettoie ma base de registre...





Ensuite je repars en mode sans échec et je relance ELIBAGLA, MALWAREBYTE'S et je termine par CCleaner

Voici les logs

pour ELIBAGLA


Wed Dec 17 02:30:34 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Dec 17 02:30:36 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 16850
Nº Total de Ficheros: 117397
Nº de Ficheros Analizados: 15575
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


pour MALWAREBYTE'S

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1508
Windows 6.0.6000

17/12/2008 10:52:36
mbam-log-2008-12-17 (10-52-36).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 152288
Temps écoulé: 36 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



En conclusion, tout semble OK

Or il subsiste un GROS problème : mon centre de sécurité est impossible à activer (le message est le suivant : Impossible de démarrer le centre de sécurité)
Windows defender ne veut pas non plus fonctionner (le message d'erreur est : échec de l'initialisation de l'application : 0x800106ba. Un problème a provoqué l'arrêt du service de ce programme. Pour redémarrer le service, redémarrer votre ordinateur ou recherchez dans le centre d'aide et de support la méthode de démarrage manuel d'un service


J'ai essayé la méthode manuelle en allant dans services.msc mais on dirait que la fonction activer est bloquée...
Très embêtant...quelqu'un a une idée ? :??: 
17 Décembre 2008 11:36:04

Du nouveau encore...
En allant dans services.msc, et en cliquant deux fois sur centre de sécurité, j'ai pu le mettre en automatique, idem pour Windows Defender.
Tout semble revenu dans l'ordre

Cependant dans mes services activés j'ai plein de services de chiffrement et d'accès à distance il me semble, je vais faire une vérif sur le net pour voir si je peux en désactiver quelques un...
17 Décembre 2008 12:44:36

Voilà je me suis servi de ce site particulièrement bien fait pour savoir quels services désactiver.


Maintenant je vais essayer de trouver un bon antivirus car Antivir me répère à chaque fois le proxy que mon frère a mis en place pour se connecter depuis son ordi portable...
17 Décembre 2008 14:10:03

Bon finalement j'ai gardé antivir...
J'ai mis le proxy en quarantaine, faute d'avoir trouvé mieux, mon frère s'en occuopera à son retour c'est pas grave.

Je dis un grand MERCI pour votre aide et je recommande évidemment ce forum pour la conviviabilité qui y règne :sarcastic:  ainsi que l'extrême serviabilité des gens présents ici :heink:  qui ont tenu à m'apporter des pistes à mon problème de virus...Un grand merci à tous donc... :lol: 

...mieux vaut compter que sur soi même dans la vie...

Allez, si çà peut aider les gens qui ont chopé le virus SROSA.SYS (virus Bagle je crois), je proclame ce topic : topic officiel pour la marche à suivre dans l'éradication du virus...

Bonne journée à tous ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS