quelqfait planté mon pc à distance

Question

Bonjour,

j'ai un gros souci depuis quelques mois , quelqu'un fait planté mon pc à distance et cela à n'importe quelle heure du jour ou de la nuit .

j'ai bitdefender 2008 , donc mon pc est protégé contre tout , je le pensais

à priori quelqu'un fait quand cette satanée saloperie de manip pour planter mon pc quand il veux , je pense à des voisins , mais ???

y a t'il quelqu'un qui puisse venir à mon aide , je suis sous windows xp pro , d'avance merci à tout ceux ou celles qui pourraient m'aider .

car cela dure depuis 3 mois et je ne sais pas et plus quoi faire , j'en suis désespéré , d'autant plus que le pc est tout pour moi , je suis handicapé et beaucoup coincé chez moi , j'ai fait 2 A.V.C en 3 ans et je me retrouve avec beaucoup de séquelles moteur , je me déplace très mal et ne peux plus écrire correctement .

donc , au secours pour mon pc , encore merci à tout ceux qui pourront m'aider

Lyonnais92 · Accepted Answer

Bonsoir,

il y a dans ton rapport RSIT des infections qui peuvent suffire à expliquer tes soucis.

Certains fichiers sont très malconnus.

Pour savoir ce qu'il en est fais ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\ckkcftweinm.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

Fais de même avec :

  C:\WINDOWS\system32\gsnd.exe

=======================

C:\Program Files\SpyRemover  est un rogue (un faux logiciel de sécurité).

Télécharge sur ton bureau RogueRemover de RubbeR DuckY : https://www.malwarebytes.com/for-home/products/
Choisis un serveur à partir des "Download Locations" pour télécharger RogueRemover

* Créé le dossier C:\RogueRemover pour cela :
-- Ouvre le poste de travail
-- Ouvre le disque C
-- Clic sur le menu Fichier puis Nouveau puis Nouveau Dossier
-- Nomme-le RogueRemover
Décompresse RogueRemover.zip dans C:\RogueRemover
- Rends-toi dans le dossier C:\RogueRemover et double-clic sur le fichier RogueRemover.exe.
* Clic sur le bouton Scan et laisse toi guider.
* Lorsque le scan est terminé.
* Clic sur le bouton Save Log Files en bas, un fichier texte de type RRLogs1236.txt sera créé dans le dossier C:\RogueRemover.

========================

Tu as des restes d'une infection Vundo.

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Registry keys to delete:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono]

Drivers to delete:
bdfsfltr
afblx6d0

Drivers to disable:
bdfsfltr
afblx6d0
 
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

chrischris83 · Answer

reinstallation de wnwows  mais c'est assez bizare ce que tu dit car je e vois comment il pourrait le faire

zebulon · Answer

quelqu'un as-t'il une autre solution que rebooter mon pc , je l'ai fait il y a 1 mois ça n'a pas changé les choses .

encore merci à qui pourras m'offrir son aide

Bodhi Fader · Answer

Salut,

change de pc, change d'immeuble , change de voix .....

je plaisante .... deja allume ton pc une journée sans MSN pour voir si cela se recure ^^ . tu fera vite le tri par la suite .

bon courage

Bodhi Fader · Answer

allumer le pc sans te connecté tu as essayé ?

Bodhi Fader · Answer

va dans ton menu connexion et désactive le réseau connecté pendant au moins 24h - si le probleme persiste c que cela vient de ton propre ordinateur (config,etc.) et non un probleme de hackin.

bon courage

Bodhi Fader · Answer

ca recommence quand tu rebranches ??

ddpc · Answer

bonjour je pense avoir un probléme similaire au tient Zebulon (ou un peu différent) ma session administrateur ne reconnaît plus mon mot de passe et à chaque fois que je veux ouvrir ma session g un message qui me dis un truc du genre ceci : " Echec de l'ouverture session administrateur problème service Service personnel. Impossible d'ouvrir la session."

Et je pense que g du choper un virus qui contrôle ma session ....à l'aide.!!! 
Je suis sur vista premiun ed. familliale. SOS

Tartuffe · Answer

bonjour

Aide SpeedFan : TU PEUX METTRE SpeedFan EN FRANÇAIS dans (bouton) "Configure" :

https://www.malekal.com/mesurer-temperatures-cpu-gpu-ssd-disque-dur-de-votre-pc/
(en bas de la page il y a des liens vers d'autres aides)

Pour "registrybooster" tu fais comme moi :

1a) http://www.googleesttonami.net/?q=registrybooster
1b) http://www.googleesttonami.net/?q=desinstaller+registry+booster

2a) https://www.google.fr/search?q=registrybooste&gws_rd=ssl
2b) https://www.google.fr/search?q=desinstaller+registry+booster&gws_rd=ssl

merci

Tartuffe · Answer

bonjour

La température est peut-être normale ou fausse ... perso j'ai 45/46 degrés Celsius.
AS-TU VU L'ONGLET "S.M.A.R.T" dans SpeedFan ? Tout est Ok (Ok en vert) ?

Le disque dur peut faire planter le pc si il y a un petit défaut de contact dans le câblage d'alimentation.
Faut bouger un peu les câbles et peut-être débrancher puis re-brancher les câbles.
En général Windows XP ne redémarre pas ... par expérience régulièrement.

merci

koulchilebaiz · Answer

eu et t'a déjà essayé d'appeler un spécialiste informatique ??

Tartuffe · Answer

bonjour (1 jour dure 24h)

Je te parlais de ton disque dur interne mais c'est bien de tester sans le disque externe pour les câblages.

Bouges les câbles à l'intérieur de ton ordinateur ; les câbles de ton disque dur = comme chez moi.
Il y a peut-être un faux contact de temps en temps dû peut-être à la chaleur = regardes sans abimer.

Sinon pour le courant, heu il te faut une batterie / un onduleur pour protéger ton pc des défauts électriques.
Il te faut une protection contre les surtensions électriques ; c'est pas inutile, voir c'est indispensable.
Le courant ne doit pas varier avec des ordinateurs, ça abime et tu peux perdre des données.

merci ; bonne soirée à toi ; j'essaye de suivre si j'y pense et que je retrouve ce sujet :)

Si d'autre peuvent aider merci ; je me débrouille assez bien avec la recherche sur Google mais je sais pas tout.

merci

Utilisateur anonyme · Answer

Bonsoir,

http://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)   ce ne serait pas un virus appelé " le cheval de Troie " ? Je ne connais pas ce qu'il faut faire si on l'a mais les personnes qui controlent votre ordi pourrait peut etre le faire planter a distance..   Essayer de vous renseigner sur ce virus.   

En espérant vous aidez..

koulchilebaiz · Answer

eu sinon démonte et remonte ton PC ! enfin nettoie le quoi
c'est pas très compliqué et sa ne demande pas beaucoup de temps.

koulchilebaiz · Answer

ou sinon c'est ton anti virus qui à pas été upgradé et tu t'es fait attaqué...

Webster95 · Answer

Salut,
Perso je fabrique ses genres de fichier. Tu as télécharger un .exe quelque je ne sais ou. Tu ne peut aussi pas le supprimer car il est utilisé comme processus.
Pour supprimer ce fichier, fait CTRL Alt Suppr, puis processus et cherche un processus qui a rien a faire ici.
Sinon, 2eme solution. tu vas dans medu démarrer > executer >  tu tape "msconfig"
Tu vas dans l'onglet "démarrage" et tu décoche le logiciel a pas lancer au démarrage de winfows, en clair, un logiciel que tu connai pas et qui na rien a foutre ici. §Ne supprime pas quelque chose de bizarre ;)
Ensuite, redémmarre ton ordi.
C'est tout a fait normal que ton anti virus ne le détecte pas, car ce n'est pas considéré comme un virus. C'est juste un .exe fait en visual basic, crois moi, je fabrique ce type de fichier et c'est po bien...
Fais moi part de tes nouvelles

Webster95 · Answer

Si tu sais pas ce que, ou plutot que ce sont des nom bizarres, décoche et clique sur ok ou appliquer

Webster95 · Answer

Oui envoi je veux bien
MAis, sa ne pourr apas trop faire le bazarre, puisque ces fichiers ceux ceux qui s'ouvre au démarrage, donc msn. skype...
Envoi que je puisse faire le tri

Webster95 · Answer

efface els tous, car  tous suppose sur google que sa ralentit et controle
Tous deu moin alcmtr 
Décoche les tous et redémarre

Webster95 · Answer

eh ho doucement j'ai pas dis au pif
il y en a un en particulier qui fou la merde
Je le sais puisque je fabriques ses programmes en VB

trojanandco · Answer

télécharge ce logiciel gratuit 
https://www.androidworld.fr/

a+

Webster95 · Answer

demarrage normal

Utilisateur anonyme · Answer

J'ai rechercher sur internet depuis un bon moment je dois avoué que je n'ai rien qui puisse expliquer ca :/
Avez vous essayer de restaurer votre ordi depuis une ancienne sauvegarde ? (cela effacerais tout ce que vous avez fait sur votre ordi, telechagement ect..) Ainsi si cela serait un virus qui serait a l'origine de ces plantages peut etre s'il ne s'est pas trop "développer" il partirait..   Je pense que vous y avez déjà pensé mais bon, on ne sait jamais.

Ou sinon avez vous déjà fait appelle à un informaticien qui pourrait mieu vous éclairer sur le sujet ?

antoine677 · Answer

Webster, ce n'est pas la peine de venir aider si c'est pour faire n'importe quoi...

Webster95 · Answer

C'est comme sa que j'ai fait pour supprimer un virus du meme type ...

hammerhead · Answer

Tres bonne rigolade en lisant la discution ...

Et dis moi une chose avant toute chose ...

Qu'est ce qui te fait dire que c'est quelqu'un qui controle ton pc a distance ? et pas simplement un probleme materiel ?

ric025 · Answer

Salut zebulon!

On peut déjà vérifier qu'il n'y ait pas de cochonnerie dans ta machine.

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents s'il te plaît.


A noter: Les rapports se trouvent également ici: C:\rsit.

ric025 · Answer

Salut!

Ok! Donc, c'était bien une infection.

A savoir que je suis arrivé sur ta discussion grâce à PPBoyington, qui nous a averti sur le bureau. Il semble que c'était donc lui qui était dans le vrai!

Fais juste ceci pour vérification: 

* Poste le rapport MBAM que tu peux retrouver en ouvrant MBAM et en te rendant dans "Rapports/Logs. 

* Fais un rapport hijackthis:

Télécharge  hijackthis

Tout est expliqué pour bien l installer et savoir l'utiliser.


Comment copier/coller le rapport:


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.


Une explication des raccourcis clavier sont illustrés sur ce site web :

https://www.androidworld.fr/

ric025 · Answer

Pour hijackthis, c'est assez simple.

Lance-le par double-clic. Choisis "Do a system scan and save a logfile".

Copie la liste, une fois créée, puis colle-la simplement ici.

A++

ric025 · Answer

moi je ne pige rien du tout , est- ce bon ?? 

--> Non!

Tu as EoRezo, qui est un rogue, puis une toolbar infectée. 

D'abord la toolbar:

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

Lance l'installation du programme en exécutant le fichier téléchargé.
Double-clique maintenant sur le raccourci de Toolbar-S&D.
Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

Poste le rapport généré. (C:\TB.txt)

ric025 · Answer

Déchiffrage du Chinois ancien: Deamon Tools, c'est de la merde! Ok! Relance toolbar S&D et exécute l'option 2. Poste ensuite le rapport généré stp. A++

zebulon · Answer

re re re ,

voila le rapport , pareil chinois à mes yeux


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ )
   BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
   USER : didier ( Administrator )
   BOOT : Normal boot
   Antivirus : Bitdefender Antivirus 8.0 (Activated)
   Firewall  : Bitdefender Firewall 8.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:149 Go (Free:2 Go)
   D:\ (CD or DVD)
   E:\ (Local Disk) - NTFS - Total:465 Go (Free:0 Go)
   F:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 01/02/2009|18:43 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
   Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
   Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
   Supprime! - C:\Program Files\DAEMON Tools Toolbar\uninst.exe
   Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
   Supprime! - C:\Program Files\Multi_Media\INSTALL.LOG
   Echec   ! - C:\Program Files\Multi_Media	bMult.dll
   Supprime! - C:\Program Files\Multi_Media	oolbar.cfg
   Supprime! - C:\Program Files\Multi_Media\UNWISE.EXE
   Supprime! - C:\WINDOWS\iun6002.exe
   Supprime! - C:\Program Files\DAEMON Tools Toolbar
   Echec   ! - C:\Program Files\Multi_Media

   -----------\ DEUXIEME PASSAGE
 
   Echec   ! - C:\Program Files\Multi_Media	bMult.dll
   Echec   ! - C:\Program Files\Multi_Media

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\Multi_Media
   C:\Program Files\Multi_Media	bMult.dll

   -----------\  Extensions

   (didier) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (didier) - {99B98C2C-7274-45a3-A640-D9DF1A1C8460} => cookieculler
   (didier) - {AE93811A-5C9A-4d34-8462-F7B864FC4696} => stumbleupon
   (didier) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
   (didier) - {D2A6A719-7CBC-4594-85FD-C36AD881424F} => blueorganizer
   (didier) - {DDC359D1-844A-42a7-9AA1-88A850A938A8} => chrome
   (didier) - {e2337727-f9c9-411b-929e-287584341d1a} => lincomp


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://www.xeoo.com/?p=h&a=f"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchasst.htm"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchasst.htm"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 01/02/2009|18:34 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 01/02/2009|18:45 - Option : [2]

   -----------\  Fin du rapport a 18:45:17,98


encore merci du décryptage

ric025 · Answer

encore merci du décryptage

--> Pas de quoi! Avec l'habitude, on sait comment traduire ce genre de truc! XD

C:\Program Files\Multi_Media 

--> Tu connais?

==================

Ensuite:

Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe 

Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

Ouvre le dossier Ad-remover présent sur ton bureau, et double clique sur Ad-remover.bat.

Au menu principal choisi l'option "A"

Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis
entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels
de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces
antivirus.

ric025 · Answer

Avant de continuer (et éventuellement traduire le Russe):

music -MacInstall

--> As-tu un raccourci sur le bureau qui te mène à ceci? Si oui, il te mène où?

Multi_Media 

--> Installé par toi? Toujours utile?

ric025 · Answer

Ad-Remover le détecte comme étant une infection reliée au Poker???

--> +--------------------| Infected Poker Softwares Elements Found:

.
C:\Documents and Settings\didier\Bureau\Raccourci vers music -MacInstall.app.lnk 

Si c'est ok, on touche pas! ;)

Et pour Multi-Média?

zebulon · Answer

quelqu'un de l'extérieur as du faire des manips , comment  ??

ric025 · Answer

Ça veut dire que tu ne connais pas le programme Multi-Média? Vérifie si tu l'as dans le panneau de config >> Ajout/Suppression programmes et dis-moi.

ric025 · Answer

ajouter/supprimer un programme il y as un " multi-média toolbar

--> Tu peux désinstaller cela par le panneau de config.


J'attends un renseignement sur le raccourci du bureau. ;)

ric025 · Answer

Non, en fait, je veux savoir:

* Si le raccourci est vraiment infecté.

* Si on peut le supprimer par Ad-Remover sans détruire quoi que ce soit. 

Je sais que le créateur de Ad-Remover passe sur CCM pour désinfecter. J'attends encore un peu. S'il n'y a pas de réponse dans quelques minutes, on continue et termine la désinfection sans le supprimer.

zebulon · Answer

mais s'il y a un truc de poker , c'est pas normal , je n'y joue pas , pas assez riche , ni chanceux

ric025 · Answer

Bon! On va y aller sans le supprimer. En même temps, un peu étrange d'avoir un raccourci sur le bureau vers un DD externe sans l'avoir créer?

! Déconnectes toi et fermes toutes applications en cours !

Relance "Ad-remover" : au menu principal choisi l'option "B" .

Coche à l'écran de sélection :



2. Suppression Eorezo



Tape le chiffre correspondant à la suppression demandée et valide par ENTREE pour le cocher.

 Puis choisi "S" , le programme va travailler,

 Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )


/!\ Si le Bureau ne réapparait pas presse Ctrl  Alt  Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valide

ric025 · Answer

Zut! J'ai oublié la traduction du Russe hyper ancien: EoRezo = Rogue = Merde ;)

ric025 · Answer

Salut PPBoyington.

Effectivement, il peut te remercier.

Tu peux mettre ton topic en résolu sur le bureau! 

Bonne continuation.

A++ ;))

ric025 · Answer

Ouvre ton disque dur. Dans C:, tu devrais le retrouver.

Sinon, tant pis.

ric025 · Answer

pourvu que ça ne replante plus , mais ???

je vais bien voir ça vite je pense

--> Je dois quitter. On termine demain si tu veux bien. Profite pour naviguer un peu et voir si ça roule.

A demain.

ric025 · Answer

Eorezo Elements Found: 

--> Tu devrais avoir "Deleted" à la place de "found" sur le rapport de nettoyage.

ric025 · Answer

eoerezo n'est pas parti ? 

--> Je ne sais pas!
Le rapport Ad-Remover que tu m'as donné: Start at: 18:54:10

Au pire, repasse-le et je verrai demain. a+

Lyonnais92 · Answer

Bonjour,

je suis ce topic depuis quelque temps, mais la multiplication des intervenants rajoute rarement de l'aide réelle.

Par contre, il est évident que le genre d'outil que tu dis avoir est, par nature, un outil qui favorise les intrusions.

ric025 · Answer

Salut!

Pour ma part, je ne connais pas teamviewer, désolé!

Pour les "intrusions", essaie déjà de changer tes mots de passe.

==================

Apparemment, EoRezo a bien été supprimé.

On va déjà nettoyer les outils utilisés:

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 

==================

Passe un coup de CCleaner, registre compris:


Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

Va dans "Options">>"Avancé". Décoche la première ligne.

Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.


/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\


Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche. 


==================

Redémarre ton pc et envoie-nous un rapport RSIT comme suit:


Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

Random's System Information Tool

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents s'il te plaît.


A noter: Les rapports se trouvent également ici: C:\rsit.

ric025 · Answer

voila le rapport de toolsclaner2 

--> Ok! Voilà le rapport de recherche. Mais tu n'as fait "Supprimer"!! XD

ric025 · Answer

HijackThis download failed 

--> Tu as accepté qu'il se connecte et télécharge la dernière version d'hijackthis?

A savoir que celle que tu avais s'est faite mangé par toolscleaner. Relance RSIT et accepte bien l'installation d'hijackthis. Merci.

ric025 · Answer

3éme rapport , ce coup-ci , y'ena eu qu'un ??? 

-> Oui, c'est normal. Il ne sort que log la seconde fois. 

Mais ce n'est toujours pas bon. :))

Apparemment, il fallait accepter hijackthis dès le début. 

Repasse toolscleaner et supprime tout. Puis télécharge à nouveau RSIT. Cette fois accepte hijackthis et reposte le rapport complet. Merci.

Mortarius · Answer

Hello, ayant eu un peu la flemme de tout lire, je vais te poser deux trois questions de mon crue... Les reponses sont peut-etre plus haut, mais la je n'ai pas le temps de tout lire.


-Tu as MSN?
-Tu as MSN +?
-As tu installer un script avec MSN +?

-As tu tenter de rester deconnecte (debranche le cable) et voir si ca te fesais ca quand meme?
Essaye si tu ne l'as pas fait, voir si ca viens de l'internet...

Desole si tu as deja repondu, j'essaye juste d'aider, mais la pas le temps.
Bonne soiree

Mortarius · Answer

Si, meme debranche, tu as toujours ces bugs, alors ce ne peut etre tes voisins.
Ils n'ont pas acces a ton PC.
A moins que tu ai la wifi, dans ces cas la, tu peux bloquer l'acces a ton PC.

Je ne pense pas que ce soit tes voisins, je pencherais plutot pour un virus ou une defalliance de ton systeme, voir un probleme hardware...

Dans tout les cas, si vraiment tu n'en peux plus, tu peux faire la solution que peu de personne pense a faire, meme quand ils en ont trop marre :
Appele ton informaticien le plus proche!
Generalement, si il peux rien faire, il te feras pas payer ;)

zebulon · Answer

bonjour , merc i à vous ,1er rapport de C:\WINDOWS\system32\ckkcftweinm.exe C:\WINDOWS\system32\ckkcftweinm.exe Fichier ckkcftweinm.exe reçu le 2009.02.03 09:43:33 (CET) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 1/39 (2.57%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: ___. L'heure estimée de démarrage est entre ___ et ___ . Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.93 2009.02.03 - AhnLab-V3 5.0.0.2 2009.02.03 - AntiVir 7.9.0.71 2009.02.03 - Authentium 5.1.0.4 2009.02.03 - Avast 4.8.1281.0 2009.02.03 - AVG 8.0.0.229 2009.02.02 - BitDefender 7.2 2009.02.03 - CAT-QuickHeal 10.00 2009.02.03 - ClamAV 0.94.1 2009.02.03 - Comodo 959 2009.02.02 - DrWeb 4.44.0.09170 2009.02.03 - eSafe 7.0.17.0 2009.02.01 - eTrust-Vet 31.6.6338 2009.02.03 - F-Prot 4.4.4.56 2009.02.02 - F-Secure 8.0.14470.0 2009.02.03 - Fortinet 3.117.0.0 2009.02.02 - GData 19 2009.02.03 - Ikarus T3.1.1.45.0 2009.02.03 - K7AntiVirus 7.10.615 2009.02.02 - Kaspersky 7.0.0.125 2009.02.03 - McAfee 5514 2009.02.02 - McAfee+Artemis 5514 2009.02.02 - Microsoft 1.4306 2009.02.03 - NOD32 3820 2009.02.03 - Norman 6.00.02 2009.02.02 - nProtect 2009.1.8.0 2009.02.03 - Panda 9.5.1.2 2009.02.02 - PCTools 4.4.2.0 2009.02.02 - Prevx1 V2 2009.02.03 Cloaked Malware Rising 21.15.10.00 2009.02.03 - SecureWeb-Gateway 6.7.6 2009.02.03 - Sophos 4.38.0 2009.02.03 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.02.03 - TheHacker 6.3.1.5.245 2009.02.03 - TrendMicro 8.700.0.1004 2009.02.03 - VBA32 3.12.8.12 2009.02.03 - ViRobot 2009.2.3.1586 2009.02.03 - VirusBuster 4.5.11.0 2009.02.02 - Information additionnelle File size: 48282 bytes MD5...: eb8075008abb5ffb1b9ab27d83018450 SHA1..: e72c7f5928750021531657d7665aacd5c0b2f6e4 SHA256: 7c6461c5ad7ca361127968d0983fbe5984adb7b01b1ae60131177858341b29b5 SHA512: 3cf6db30fff1072fd575317aa7207516d91a152d3926cfdd4319792a991d826f d8093e83e59e8f7d1bb4c4636fa66fbbd5f6bf86bd4fa09343e4cb10700bc989 ssdeep: 768:CNV60pic8jAQVSISj980nSwRdxi4XAfF/O71mJSJRn2xyuFa5S/coPHGXurf TCPY:sFicEAwSIknNAUmJHxy7S/rPmSzl PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3233 timedatestamp.....: 0x494ce7df (Sat Dec 20 12:41:03 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5a4a 0x5c00 6.42 baa0bbc3631ab14b4619a5f0f8c20230 .rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75 .data 0x9000 0x1af98 0x400 4.71 889379c97ddaedb548a899642f74c872 .ndata 0x24000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x31000 0x908 0xa00 3.85 43021e90c80c3329df69b5e26ab1d110 ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F68B2EC9A5BE6A0BC940085E64EAB00106EA39F

Lyonnais92 · Answer

Bonjour,

les rapports de VirusTotal donnent le résultat de l'analyse du fichier par différents anti-virus. Ils donnent aussi des caractéristiques fichier (sa taille et différents indicateurs qui permettent de l'identifier de façon sûre). Ils donnent enfin des informations (pour spécialistes) du contenu de son code.

OK pour RogueRemover.

 Tu postes le rapport si tu nen as un.

==============

Ensuite, tu désinstalles Spybot S&D par le Panneau de configuration. Il gêne la désinfection. Tu le réinstalleras éventuellement à la fin.

Tu supprimes aussi le répertoire C:\Program Files\Spybot - Search & Destroy

==============

Tu refais tourner MBAM.

Tu gardes "analyse rapide" et tu postes le rapport.

Lyonnais92 · Answer

Re,

pour spybot, désactive d'abord le Tea-Timer :

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Ensuite, réessaye de désinstaller Spybot S&D.

Lyonnais92 · Answer

Re,

pour The Avenger, tu désactives Bit defender le temps du téléchargement et tu le réactives. (rien d'autres d'actif pendant cette opération, surtout pas d'autres fenêtre Internet ouverte).

Tu exécutes The Avenger en ignorant les alertes.

Lyonnais92 · Answer

Re,

 Désactiver BitDefender : double-cliquez sur l'icône BitDefender près de l'horloge puis dans la partie 'Antivirus', dans l'onglet 'Résident', cliquez sur le bouton 'Désactiver'. La phrase 'Le résident est désactivé' s'inscrit en rouge et le bouton devient 'Activer'.
 
- Réactiver BitDefender en cliquant maintenant sur le bouton 'Activer'.

Lyonnais92 · Answer

Re,

erreur de syntaxe de ma part.


2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono

Drivers to delete:
bdfsfltr
afblx6d0

Drivers to disable:
bdfsfltr
afblx6d0


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Lyonnais92 · Answer

Re,

pour The Avenger, le texte à recopier est :

Begin copying here:

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono

Drivers to delete:
bdfsfltr
afblx6d0

Drivers to disable:
bdfsfltr
afblx6d0

ric025 · Answer

Bonjour tout le monde.

zebulon: désolé pour hier. Absent.

Tu es entre de bonnes mains! ;)

Merci Lyonnais.

Bonne continuation.

zebulon · Answer

une nouvelle copie du dernier rapport fait.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:16:41 2009

12:16:34: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
12:16:37: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
12:16:41: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:32:29 2009

12:32:16: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
12:32:19: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "bdfsfltr" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\afblx6d0" not found!
Deletion of driver "afblx6d0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "bdfsfltr"
Disablement of driver "bdfsfltr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "afblx6d0"
Disablement of driver "afblx6d0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:24 2009

12:49:24: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:28 2009

12:49:28: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:30 2009

12:49:30: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:33 2009

12:49:33: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:35 2009

12:49:35: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:38 2009

12:49:38: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:41 2009

12:49:41: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:44 2009

12:49:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:49:46 2009

12:49:46: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:02 2009

12:50:02: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:33 2009

12:50:33: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:36 2009

12:50:36: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:44 2009

12:50:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:46 2009

12:50:46: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:49 2009

12:50:49: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:52 2009

12:50:52: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:54 2009

12:50:54: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:50:57 2009

12:50:57: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:51:06 2009

12:51:06: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:51:12 2009

12:51:12: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:51:20 2009

12:51:20: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Feb 03 12:51:22 2009

12:51:22: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\bdfsfltr" not found!
Deletion of driver "bdfsfltr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\afblx6d0" not found!
Deletion of driver "afblx6d0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "bdfsfltr"
Disablement of driver "bdfsfltr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "afblx6d0"
Disablement of driver "afblx6d0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtqrsrR" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkHYono" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Lyonnais92 · Answer

Re,

bon, les clés de registre sont parties. Mais je doute pour les psudi-drivers.

Remets un rapport RSIT que l'on fasse le point.

Lyonnais92 · Answer

Re,

encore des choses.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

si ton antivirus proteste, désactive le le temps du téléchargement.

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Lyonnais92 · Answer

Re,

c'est bien toi qui a installé BinarySense ?

 * Double-clique sur le raccourci de Toolbar-S&D.sur ton Bureau
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

zebulon · Answer

vraiment ce que vous me dite n'existe pas sur mon pc , c'est peut-être un autre pc qui serait connecté au miens hacking à distance , non ?

zebulon · Answer

mon pc viens de ce replanter donc le problème est toujours là , je vous dis , c'est à tomber fou , à quand mon pc qui remarcheras comme il faut ???

Lyonnais92 · Answer

Re,

il me semblait que tu avais déjà utilisé cet outil.

pas grave :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

Lyonnais92 · Answer

Re,

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

=============

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
aesdge4w

File::
c:\windows\system32\gsnd.exe
c:\windows\system32\ckkcftweinm.exe
 

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lyonnais92 · Answer

Re,

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. 

en image :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

zebulon · Answer

rapport hijackthis bloc notes

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:13, on 03/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\BinarySense\disksvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Webroot\Washer\WasherSvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Registry Mechanic\RegMech.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\DMV\MaxTV4\maxtv.exe
C:\Documents and Settings\didier\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\didier\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMult.dll (file missing)
R3 - URLSearchHook: WorldTV Bar Toolbar - {44c0b463-5a8a-452c-8e72-dc751dac6ec1} - C:\Program Files\WorldTV_Bar	bWorl.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: WorldTV Bar Toolbar - {44c0b463-5a8a-452c-8e72-dc751dac6ec1} - C:\Program Files\WorldTV_Bar	bWorl.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: WorldTV Bar Toolbar - {44c0b463-5a8a-452c-8e72-dc751dac6ec1} - C:\Program Files\WorldTV_Bar	bWorl.dll
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [HDDtemp4] C:\Program Files\BinarySense\HDDTemp4\hddtemp4 /minimized
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV4\maxtv.exe
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\didier\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ACBC200-693E-4B7A-81DD-B7BB4B49E6A1}: NameServer = 86.64.145.140 84.103.237.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{1ACBC200-693E-4B7A-81DD-B7BB4B49E6A1}: NameServer = 86.64.145.140 84.103.237.140
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HDD & SSD access service - BinarySense Ltd. - C:\Program Files\Fichiers communs\BinarySense\disksvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

chrischris83 · Answer

ne serait il pas possible d'aller sur un iste de dialogue comme msn car je recois 50 mails de votre part dans la journée du fait que vous dialogué sur ce site
merci
chris

ric025 · Answer

Chrischris83 --> Tu n'avais pas à demander le suivi de ce post, c'est tout! 

ne serait il pas possible d'aller sur un iste de dialogue comme msn 

--> zebulon a répondu! Tu es ici sur un forum d'entraide! 

Merci.

chrischris83 · Answer

un forum d'entraide certes mais il faut comprendre que le fait d'avoir repondu une fois nous condanne a recevoir les 500 mails que vous echangez alors que cela devient une discussion entre 2 personnes  moi j'evite ca en allant parler ailleur le resultat est le meme mais ne polu pas les autres

ric025 · Answer

je vais essayé de voir cela avec lyonnais92 en dehors de ce site si je peux

encore pardon , je pense pouvoir vous comprendre , vraiment désolé

--> Absolument pas! Sauf vraiment si Lyonnais t'invite sur son forum. J'ai participé à près de 1000 discussions, je ne reçois aucun mail! 

alors que cela devient une discussion entre 2 personnes

--> C'est aussi un des but du forum. Je suis souvent seul avec le demandeur! C'est même mieux!

A++ ;))

Lyonnais92 · Answer

zebulon,

ce qui se passe dans les courriels des autres ne te concerne pas.

les posts que nous échangeons sont le mode normal de fonctionnement.

============


je ne peux pas te garantir une présence constante ni une réponse immédiate mais ton problème a nune priorité haute dans mes réponses.

Je regarde les rapports de combofix et de Hijackthis et je te dis la suite.

Lyonnais92 · Answer

Re,

Ok, j'ai bien noté que l'ordi s'était éteint entre le passage de combofix et celui de Hijackthis.

On va nettoyer un certain nombre de choses.

================

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMult.dll (file missing) 

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
 

=======================================
 
========================================
 
========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
Purge la restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

=========================

 Mets à jour ton antivirus et scanne ton ordi.

=========================
 
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »


Dis moi quand c'est fait (et poste le rapport de MBAM).

Lyonnais92 · Answer

Re,

on continue par le nettoyage des outils :

Tu cliques sur démarrer, puis sur exécuter, tu tapes combofix /u dans la zone de saisie puis OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


Enfin, tu défragmentes tes partitions.

Tartuffe · Answer

Re.. bonjour : ton installation électrique est-elle neuve ou correctement alimentée zebulon ? Merci :)
Comme dit et proposé précédemment par moi-même achète (si tu peux) un onduleur/batterie !

Lyonnais92 · Answer

Re,

tu essayes avec combofix.exe /u
--

(un espace entre exe et /u)

===============
As tu des raisons pour que l'ordi fonctionne 24  sur 24 ?

Tartuffe · Answer

Re..

Touche Windows sur ton clavier + touche r sur ton clavier puis "Parcourir..." puis dossier "Bureau" (icône à gauche) puis sélectionnes combofix.exe puis "Ouvrir" puis rajoutes /u.

merci beaucoup

Lyonnais92 · Answer

Re,

1) Fais ToolsCleaner et poste le rapport.

On verra ensuite.

2) Je n'exclus pas d'autres causes que l'infection.

Je traite en premier parce que c'est ma spécialité et que l'expérience montre que c'est souvent la cause.

Je n'aurais pas pensé spontanément (à tort) à l'installation électrique mais Tartuffe a raison, c'est une possibilité.

Il peut y en avoir d'autres sur l'ordi lui-même.

Il a quel âge ?

Connais tu la puissance de l'alimentation ?

As tu installé des composants supplémentaires lors de l'apparition des problèmes (nouvelles enceintes, Hub USB) ?

Ton IP est fixe ou variable ?

Lyonnais92 · Answer

Re,

oui, il a supprimé Combofix.

Supprime ToolsCleaner sur ton Bureau et C:\TCleaner.txt.

=========================

Est ce qu'il y a déjà eu 2 plantages à moins de 24 heures d'intervalle ?

Lyonnais92 · Answer

Re,

oui, tu le supprimes aussi.

===========

Le nombre de plantage exclut la modification de ton IP par ton FAI.

=============

L'hypothèse de Tartuffe, problème de l'installation électrique, me semble aussi la meilleure piste à ce stade.

ric025 · Answer

Salut!

Effectivement, mais au moins tu as un pc propre.

Bonne chance.

A++

Lyonnais92 · Answer

Re,

si tu pouvais voir avec celui qui doit venir installer ta box (ou une autre de tes relations) si il pouvait te prêter un onduleur pour 2 ou 3 jours.

Au rythme des plantages, ce délai devrait être suffisant pour voir si c'est bien la cause du problème.

Lyonnais92 · Answer

Re,

j'ai regardé très rapidement. Les premier prix sont autour de 60 euros. Mais je ne suis pas assez spécialiste pour garantir que c'est suffisant pour ton cas. La gamme de prix est très large (on trouve des appareils à 400 euros facilement).

La FNAC propose 2 produits autour de 100 euros et un à 147 euros.

La notion de "chère" est toujours relative, mais, à ce prix là, se faire prêter pour vérifier m'a semblé une bonne idée.

Mais les spécialistes du matériel viendront peut être dire que tout le monde devrait avoir ce genre de protection et que le coût est faible par rapport au risque des dégâts de la foudre et autres accidents électriques (sous-tension, sur-tension, micros coupiues) sur un ordi.

Lyonnais92 · Answer

Re,

pour retrouver le topic :

clique sur "rechercher"  (en marron en haut de la page)

écris zebulon dans la zone de recherche et coche "par nom d'utilisateur" et vérifie que "tous les forums" est coché.

Tu verras apparaître ce topic dans la liste.

edward · Answer

ui ce son tes voisin ou kelkun ki a eu ton adresse IP

est ce kil y a un truc ki saffiche comme votre ordi ca s'eteinfre ou une fenetre du mm style ?
si oui la solution c de aller dans demarre et comme pour faire une recherche vous taper : stup -a
je croi ke c ca et normalemen l arrete de ton ordi ne seffectue pa

Quelqfait planté mon pc à distance

90 réponses

Votre réponse

Newsletters