Problème au démmarage de Vista (32bit, SP1) Résolu/Fermé

Question

Bonjour à vous !

En allumant mon ordinateur portable ce matin, j'ai eu la surprise de voir en premier lieu un message d'erreur me disait que le programme "equation.exe" n'avait pas pu être exécuté, bloquant "soit-disant" le programme winlogon.exe, et que je devais lancer CHKDSK, le tout sur la page de log de Vista.
Ne sachant pas trop quoi faire, j'ai préféré redémarrer mon ordinateur.

En le rallumant, CHKDSK a lancé automatiquement un scan de vérification, et une fois le scan terminé, a relancé Vista, pour atterrir sur la fenêtre de log de Vista, sans fenêtre de bug.
Un peu soulagé, je rentre mon mot de passe, et là...

Quelques fenêtres étranges apparaissent, dont des fenêtres de commande MS-DOS traitant d'un exécutable nommé atbroker.exe, ainsi que des fenêtres Vista disant que "Microsoft Windows Search Protocol Host a cessé de fonctionner" d'un côté, et que "NTVDM a cessé de fonctionner de l'autre"...
Un peu plus inquiet que précédemment, je lance le gestionnaire des tâches, pour exécuter Firefox et chercher un peu sur le net de quoi il en retourne, sans rien trouver de concluant.

Là, je décide de redémarrer à nouveau, en installant au passage une MaJ de Windows Vista qui trainait depuis deux ou trois jours...

Et une fois relogué, même topo que précédemment, à savoir NTVDM et Microsoft windows search protocol host qui plante, avec des executions MS-DOS de atbroker.exe...
Pour éviter de perdre trop de temps, je me suis décidé à venir ici pour demander des renseignements sur la nature de ses phénomènes informatiques étranges et, pour l'instant, inexpliqués.

A noté que j'ai tenté de lancer Avast pour avoir un scan rapide, on sait jamais, et que j'ai découvert que NTVDM était une application qui permettait aux applications 16bit de fonctionner sous du 32bit, et Avast a refusé tout simplement de se lancer, affichant un perpétuel "application Win32 non-valide"...

Merci d'avance de vos informations et de votre aide !
Amicalement, Tsukasan

Destrio5 · Answer

Salut,

Tu as oublié le passage où tu as téléchargé un crack et que tu l'as exécuté puis que ton PC s'est éteint tout seul quelques minutes après.

Tsukasan · Answer

Et tu sembles avoir oublié le passage où la politesse prend le dessus sur les soupçons mensongers.

Non, je n'ai pas téléchargé de crack avec mon pc qui se serait éteint tout seul, désolé de contrecarrer tes espoirs.

Destrio5 · Answer

Je me suis peut-être trompé, on va vérifier cela.

--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 1 (Recherche).

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Tsukasan · Answer

Voici le rapport de Findykill : ----------------- FindyKill V4.710 ------------------ * User : Tsukasan - PCdeTsuka * Emplacement : C:\Program Files\FindyKill * Outils Mis a jours le 21/12/08 par Chiquitine29 * Recherche effectuée à 15:25:35 le 30/12/2008 * Windows Vista - Internet Explorer 7.0.6001.18000 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\explorer.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Alwil Software\Avast4\ashSimpl.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\igfxsrvc.exe --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: »»»» Presence des fichiers dans C:\Windows »»»» Presence des fichiers dans C:\Windows\Prefetch »»»» Presence des fichiers dans C:\Windows\system32 »»»» Presence des fichiers dans C:\Windows\system32\config\systemprofile\AppData\Roaming »»»» Presence des fichiers dans C:\Windows\system32\drivers »»»» Presence des fichiers dans C:\Users\Antwan\AppData\Roaming »»»» Presence des fichiers dans C:\Users\Antwan\AppData\Local\Temp Found ! - C:\Users\Antwan\AppData\Local\Temp\PatchByFile.tmp Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_Fable The Lost Chapter Patch Fr.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_lightwaydemopsppatch.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_lightwaydemopsppatch.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp3_lightwaydemopsppatch.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp4_lightwaydemopsppatch.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp5_lightwaydemopsppatch.zip Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_Fable The Lost Chapter Patch Fr.zip\A LIRE.txt Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_library.zip\ipodder\contrib\GenericDispatch.pyc Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_lightwaydemopsppatch.zip\PSP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_lightwaydemopsppatch.zip\PSP\GAME Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_lightwaydemopsppatch.zip\PSP\GAME\lightway Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp1_lightwaydemopsppatch.zip\PSP\GAME\lightway\EBOOT.PBP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_library.zip\ipodder\contrib\GenericDispatch.pyc Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_lightwaydemopsppatch.zip\PSP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_lightwaydemopsppatch.zip\PSP\GAME Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_lightwaydemopsppatch.zip\PSP\GAME\lightway Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp2_lightwaydemopsppatch.zip\PSP\GAME\lightway\EBOOT.PBP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp3_lightwaydemopsppatch.zip\PSP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp3_lightwaydemopsppatch.zip\PSP\GAME Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp3_lightwaydemopsppatch.zip\PSP\GAME\lightway Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp3_lightwaydemopsppatch.zip\PSP\GAME\lightway\EBOOT.PBP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp4_lightwaydemopsppatch.zip\PSP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp4_lightwaydemopsppatch.zip\PSP\GAME Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp4_lightwaydemopsppatch.zip\PSP\GAME\lightway Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp4_lightwaydemopsppatch.zip\PSP\GAME\lightway\EBOOT.PBP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp5_lightwaydemopsppatch.zip\PSP Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp5_lightwaydemopsppatch.zip\PSP\GAME Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp5_lightwaydemopsppatch.zip\PSP\GAME\lightway Found ! - C:\Users\Antwan\AppData\Local\Temp\Temp5_lightwaydemopsppatch.zip\PSP\GAME\lightway\EBOOT.PBP »»»» Presence des fichiers dans C:\Users\Antwan\Local Settings\Temporary Internet Files\Content.IE5 Found ! [16/11/2008 18:12] - C:\ProgramData\TrackMania\Cache\CCAF4481B64801C80E1B104C0AE09683_Skins%5cAny%5cAdvertisement%5cacegikmoyg8.jpg Found ! [16/11/2008 18:12] - C:\ProgramData\TrackMania\Cache\CCAF4481B64801C80E1B104C0AE09683_Skins%5cAny%5cAdvertisement%5cacegikmoyg8.jpg.loc Found ! [22/11/2008 18:37] - C:\ProgramData\TrackMania\Cache\FE61E6486338E8155C9A2A84DCD79584_Skins%5cAny%5cAdvertisement%5cTMXDown.jpg Found ! [22/11/2008 18:37] - C:\ProgramData\TrackMania\Cache\FE61E6486338E8155C9A2A84DCD79584_Skins%5cAny%5cAdvertisement%5cTMXDown.jpg.loc Found ! [16/11/2008 18:12] - C:\Users\All Users\TrackMania\Cache\CCAF4481B64801C80E1B104C0AE09683_Skins%5cAny%5cAdvertisement%5cacegikmoyg8.jpg Found ! [16/11/2008 18:12] - C:\Users\All Users\TrackMania\Cache\CCAF4481B64801C80E1B104C0AE09683_Skins%5cAny%5cAdvertisement%5cacegikmoyg8.jpg.loc Found ! [22/11/2008 18:37] - C:\Users\All Users\TrackMania\Cache\FE61E6486338E8155C9A2A84DCD79584_Skins%5cAny%5cAdvertisement%5cTMXDown.jpg Found ! [22/11/2008 18:37] - C:\Users\All Users\TrackMania\Cache\FE61E6486338E8155C9A2A84DCD79584_Skins%5cAny%5cAdvertisement%5cTMXDown.jpg.loc Found ! [26/08/2008 12:21] - C:\Users\Antwan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M3TIZHPM\5A802BAB2D357E487AC325D42B648[1].jpg Found ! [23/11/2008 01:09] - C:\Users\Antwan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M3TIZHPM\WMPc2edbba3-bb64-4666-b339-68c60f643194[1]..jpg --------------- [ Registre / Startup ] ---------------- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run] swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background DellSupportCenter="C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun ehTray.exe=C:\Windows\ehome\ehTray.exe WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide Apoint=C:\Program Files\DellTPad\Apoint.exe OEM02Mon.exe=C:\Windows\OEM02Mon.exe Broadcom Wireless Manager UI=C:\Windows\system32\WLTRAY.exe IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" Google Desktop Search="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup dscactivate="C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe" PCMService="C:\Program Files\Dell\MediaDirect\PCMService.exe" avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe DellSupportCenter="C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter IgfxTray=C:\Windows\system32\igfxtray.exe HotKeysCmds=C:\Windows\system32\hkcmd.exe Persistence=C:\Windows\system32\igfxpers.exe Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Clés infectieuses ] ---------------- Found ! - HKEY_USERS\S-1-5-21-2538400825-2928773711-2536480923-1000\Software\Ubisoft --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] Ndisuio - Type de démarrage = 3 EapHost - Type de démarrage = 3 Wlansvc - Type de démarrage = 2 /!\ SharedAccess - Type de démarrage = 4 wuauserv - Type de démarrage = 2 wscsvc - Type de démarrage = 2 WinDefend - Type de démarrage = 2 --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Lecteur fixe D: - Lecteur fixe +- presence des fichiers : --------------- [ Registre / Mountpoint2 ] ---------------- -> Not found ! ------------------- ! Fin du rapport ! --------------------

Destrio5 · Answer

En fait, je m'étais appuyé sur cette phrase : "Avast a refusé tout simplement de se lancer, affichant un perpétuel "application Win32 non-valide"..."

Dans 99% des cas, c'était à cause de l'infection Bagle et cette infection s'attrape seulement en exécutant un crack infecté.

FindyKill n'a rien trouvé, tu n'es donc pas infecté par Bagle.

Je te demande pardon.

---> Désinstalle FindyKill.

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.

Tsukasan · Answer

Y'a pas de mal pour le coup du crack, si c'est effectivement 99%, y'avait de grandes chances que ce soit ça =P

Voici le scan de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:29, on 30/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\explorer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=1080823
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Dell Dock.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: Google Desktop Manager 5.7.801.7324 (GoogleDesktopManager-010708-104812) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Destrio5 · Answer

Je ne vois rien de particulier dans ce rapport.

Tu peux le refaire en mode normal ?

Tsukasan · Answer

J'étais passé en safe mode pour lancer le scan d'Avast, je vais repasser en normal, le scan est trop long x)

Destrio5 · Answer

Ok ^^

Tsukasan · Answer

Dans le genre bizarre, Hijack, au début du nouveau scan, me dit de le lancer en tant qu'administrateur, parce que certains fichiers sont inaccessibles, mais me pond quand même un log (voir ci-dessous).

En voulant le lancer en tant qu'admin du pc, on me sort que Hijackthis n'est pas une application Win32 valide... =/

Donc, le log que j'ai reçu est simplement une copie du précédant, toujours sous safe mode...

Destrio5 · Answer

Je pense que tu peux arrêter Avast. De toute façon, vu son efficacité, c'est de la perte de temps.

Tsukasan · Answer

J'avais déjà stoppé Avast pour repasser en boot classique, lors de mon précédant message.

Destrio5 · Answer

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Tsukasan · Answer

Mon ordinateur refuse de lancer RSTI.exe...

Après avoir double cliqué, il me demande deux fois de revalider mon choix de lancer le programme, et puis rien ne se passe !

Destrio5 · Answer

Clique droit sur RSIT et choisis Exécuter en tant qu'administrateur.

Tsukasan · Answer

"RSTI.exe n'est pas une application Win32 valide."  qu'on m'dit.

Destrio5 · Answer

Bon OK...

Repasse un coup de FindyKill en mode normal et en tant qu'administrateur.

Tsukasan · Answer

Je l'avais désinstallé, et quand j'essaye de le réinstaller, on m'annonce que ce n'est pas non plus une application Win32 valide...

Destrio5 · Answer

Pas normal du tout.

Marque du PC ?

Tsukasan · Answer

Un Dell Inspiron 1525.

Destrio5 · Answer

Sincèrement, je pense qu'un formatage + réinstallation sera plus rapide. Qu'en penses-tu ?

Tsukasan · Answer

Étant donné que ça ne me gène pas beaucoup, tant qu'il accepte de me lancer Firefox et msn, j'vais attendre d'avoir un DDE pour sauvegarder des données style images, musiques ou autres, avant de le reformater...
Parce que perdre 200Go de données, c'est un poil frustrant.

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Tsukasan · Answer

Impossible de le lancer, toujours parce que ce n'est pas une application Win32 valide.

J'ai un DD partitionné par mon fabriquant, avec une partie réservée à la restauration nommée RECOVERY, je sais pas si on peut en tirer des trucs.

A noté que j'ai aussi, quasiment perpétuellement une fenêtre qui m'indique que Microsoft Windows Search Protocol Host a cessé de fonctionner, se rouvrant quand je la ferme.

Destrio5 · Answer

"Impossible de le lancer, toujours parce que ce n'est pas une application Win32 valide."
---> Et en mode sans échec ?

Tsukasan · Answer

En mode sans échec, il se lance, j'en profite pour faire le scan avec Mbam.
Je poste le rapport dès que je l'obtiens, si rapport il y a =)

Destrio5 · Answer

Oui, il y a même deux rapports.

Tsukasan · Answer

En lisant le rapport, je retrouve le nom d'un programme qui avait l'air de se lancer au démarrage, donc ça a l'air cohérent, malgré le mode sans échec.

Log du Mbam :
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1577
Windows 6.0.6001 Service Pack 1

30/12/2008 17:01:38
mbam-log-2008-12-30 (17-01-38).txt

Type de recherche: Examen rapide
Eléments examinés: 55042
Temps écoulé: 6 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et je n'ai eu qu'un rapport... ^^

Destrio5 · Answer

Essaie de lancer RSIT en MSE.

Tsukasan · Answer

RSTI plante après la vérification de Hijackthis :

"AutoIt Error
Line -1:
Error : Subscript used with non-Array variable."

Destrio5 · Answer

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

Tsukasan · Answer

Après avoir double cliqué sur Runthis.bat, rien ne se passe... Hmm...

Destrio5 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Je te conseille vivement d'installer la Console de récupération.

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\Combofix.txt

Tutoriel officiel : 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Tsukasan · Answer

La manipulation de Combofix a l'air un peu complexe, aussi je pense que je vais attendre demain matin pour le faire, à tête reposée, même si je crois que l'option s'affiche au démarrage, sur mon ordinateur.

A noter que si tu me le demandes, c'est que tu dois correspondre à la définition d'assistant expérimenté utilisée dans le tutoriel !

Merci de ton aide pour le moment !
Par contre ! Serait-il possible d'obtenir ton adresse de messagerie instantanée pour faciliter l'utilisation de Combofix ?
J'ai d'autres ordinateurs à disposition chez moi pour pouvoir garder le contact pendant l'utilisation de Combofix ^^

Destrio5 · Answer

Mon pseudo + @live.fr

Tsukasan · Answer

Problème résolu par une réinstallation de Vista, sans autre explication.

Problème au démmarage de Vista (32bit, SP1)

36 réponses

Discussions similaires