Sujet Précédent Sujet Suivant

Help !! plantages a repetition

Fermé
lly - 22 avril 2009 à 21:52
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 27 avril 2009 à 09:09
Bonjour,

je ne sais plus ou poster... j espere que quelqu un ici pourra me donner un coup de main...

depuis plusieurs semaines, mon pc plante, aleatoirement, au bout de 30 secondes,
ou au bout de 10 minutes, que je ne fasse rien, que je surfe sur le net, ou que
j essaye d ecouter de la musique, peu importe.

"il plante", j entends par là, que brusquement, il ne se passe plus rien, il ne fait plus rien,
le disque dur ne fait plus "grat-grat", juste la souris bouge.

alors j ai essayé pas mal de choses, en vrac :

j avais 2 cartes reseau, celle reliée au routeur, et une integree a la CM, j ai viré la premiere
nettoyage de toute la poussiere
j ai enlevé une carte video qui me servait a recevoir la tele
j ai desinstallé une 20taine de programmes avec revo uninstaller (dont antivirus, desfois que...)
je suis revenu a la plus ancienne sauvegarde de windows (je ne sais plus comment on appelle ca,
pour revenir a une version antérieur, c est un des outils d´XP)

et là je sèche...
je ne sais plus quoi faire...
et ce que je peux copier coller le rapport d hijackthis ici au cas ou j ai loupé quelque chose ?

je remercie ceux qui voudront bien me donner un coup de main, je desespere et je suis pas du tout douee
en informatique mais j ai besoin de mon pc... c est mon outil de travail...

je dois ajouter aussi que je suis incapable de remettre la main sur le CD de windows depuis mon demenagement
donc je ne peux pas reinstaller...

30 réponses

Précédent
  • 1
  • 2
Réponse 21 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 21:18
oui refais
0
Réponse 22 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 21:22
pouis lance ce logiciel F SECURE BLACK LIGHT et mets le rapport

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
0
Réponse 23 / 30
lly
26 avril 2009 à 21:24
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 0x017BD52D8
malicious code @ sector 0x017BD52DB !
PE file found in sector at 0x017BD52F1 !


"%userprofile%\Desktop\mbr" -f ca aussi je le refais ?

c´est parti pour black light, je le telecharge !
0
Réponse 24 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 21:26
oui il faut faire ceci "%userprofile%\Desktop\mbr" -f



Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f


Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"


Poste ce rapport et supprimes-le ensuite.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 21:29
rq: pour f secure tu aura sur ton bureau un fichier texte contenant le rapport i tu as mis le logiciel sur le bureau , sinon il sera l) où tu as enregistré le logiciel
0
lly
26 avril 2009 à 21:36
et non...

cette fois il a pas affiché cette ligne (j ai regardé l´heure de la dernière modif du fichier et ca correspond au moment ou j´ai cliqué sur executer)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 0x017BD52D8
malicious code @ sector 0x017BD52DB !
PE file found in sector at 0x017BD52F1 !

je lance black light et reviens poster le rapport
0
lly > lly
26 avril 2009 à 21:46
drole de rapport.... incompréhensible :) mais d´après ce qui était affiché à l´écran, il n a rien détecté
est ce possible qu avira se plante en detectant un truc qui n existe pas ?

04/26/09 21:37:32 [Info]: BlackLight Engine 2.2.1092 initialized
04/26/09 21:37:32 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/26/09 21:37:32 [Note]: 7019 4
04/26/09 21:37:32 [Note]: 7005 0
04/26/09 21:37:38 [Note]: 7006 0
04/26/09 21:37:38 [Note]: 7011 240
04/26/09 21:37:38 [Note]: 7035 0
04/26/09 21:37:38 [Note]: 7026 0
04/26/09 21:37:38 [Note]: 7026 0
04/26/09 21:37:40 [Note]: FSRAW library version 1.7.1024
04/26/09 21:43:34 [Note]: 2000 1012
04/26/09 21:43:34 [Note]: 2000 1012
04/26/09 21:43:34 [Note]: 2000 1012
04/26/09 21:43:34 [Note]: 2000 1012
04/26/09 21:43:48 [Note]: 7007 0
0
Réponse 26 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 21:48
antivir peut se planter mais F secure aussi et vu les dégat banquaires de cette infection il vaut mieux croire antivir




___________________

essaie ceci


Supprimer le Rootkit MBR avec la console de récupération et fixmbr

La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.
Démarrez sur le CD de Windows.
Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
https://www.malekal.com/installer-et-utiliser-la-console-de-recuperation/#mozTocId892524

Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.

Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer


puis remets antivir pour verifier

si cela persiste je pense que le mieux est de formater le pc par précaution




infos ici:


https://teodulle.blogspot.com/2009/04/supprimer-le-virusrootkit-sinowal.html

https://forum.malekal.com/viewtopic.php?f=58&t=10139
0
Réponse 27 / 30
lly
26 avril 2009 à 21:59
aie... justement le cd de windows... il est quelque part, certainement, mais je ne peux pas arriver a le retrouver...

ca fait des semaines que je le cherche, mais j avoue c est un peu le bordel au niveau informatique ici j ai des centaines et des centaines de cd. Tout ce que j ai pu trouver c est un win98 qui ne s installe pas et une suse 6.2

par contre ici http://web17.webbpro.de/index.php?page=advanced-analysis-of-sinowal le type qui a analysé sinowal parle d un fichier log sur lequel il est écrit clairement toutes les données qui ont été envoyées, par contre mes connaissances limitées en ordinateur font que j ai pas compris grand chose d autre !
si je pouvais mettre la main sur ce fichier log ce serait deja super
0
Réponse 28 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 22:02
il faudrait un cd de windows ce serait plus simple
0
lly
26 avril 2009 à 22:03
oui...
0
Réponse 29 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 avril 2009 à 22:03
si tu trouve pas essaye ceci

passe Mac Afee antirootkit
http://www.commentcamarche.net/telecharger/telecharger 34055259 mcafee rootkit detective 1 1

passe SOPHOS Anti rootkit
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

puis


A)- Effectuer un eScan Antivirus Toolkit < https://www.malekal.com/tutorial-escan-antivirus-toolkit/ >

À exécuter en mode sans échec (< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) et restauration système désactivée (< http://www.libellules.ch/desactiver_restauration.php > afin de pouvoir effectuer un nettoyage complet.

Étape 1:

Télécharge eScan Antivirus Toolkit ici:

http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau > puis [Exécuter]
Dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky)
< https://www.hiboox.com >
Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
< https://www.hiboox.com >

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier "Kaspersky" ; ensuite, double-clique sur le fichier kavupd.exe.
< https://www.hiboox.com >
Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:

•- Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .

•- Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky

2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.

3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:

- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, (et non "Program Files").

6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).

(eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum).

Ferme le programme.

Redémarre ton PC en mode Normal.

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
0
lly
26 avril 2009 à 22:12
mac afee a trouvé une clé qu´il fallait supprimer, pour le reste je sais pas, et je dlo sophros à la suite
voila le rapport :

Object-Type: Registry-value
Object-Name: URL Protocol
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\webcal
Status: Registy value-data mismatch

Object-Type: Process
Object-Name: winlogon.exe
Pid: 712
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1084
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: jqs.exe
Pid: 1332
Object-Path: C:\Programme\Java\jre6\bin\jqs.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 684
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 964
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: wdfmgr.exe
Pid: 1956
Object-Path: C:\WINDOWS\system32\wdfmgr.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 1772
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1184
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 756
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: X10nets.exe
Pid: 416
Object-Path: C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2276
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1348
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 636
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 1876
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: fsbl.exe
Pid: 2684
Object-Path: C:\Dokumente und Einstellungen\Heinrich Grimminger\Desktop\fsbl.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 3304
Object-Path: C:\DOKUME~1\HEINRI~1\LOKALE~1\Temp\Rar$EX00.203\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 980
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1292
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1540
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1788
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 240
Object-Path: C:\WINDOWS\explorer.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 768
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: sched.exe
Pid: 1608
Object-Path: C:\Programme\Avira\AntiVir Desktop\sched.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1856
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Scan complete. Hidden registry keys/values: 1
0
lly > lly
26 avril 2009 à 22:24
sophos n a rien trouvé je passe au suivant :)
0
lly > lly
26 avril 2009 à 22:31
ca commence mal, je decompresse l´archive et j´ai une alerte windows qui s ouvre "some of mwav.exe infected by virus... try again !"
0
Réponse 30 / 30
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 avril 2009 à 09:09
a la place de escan passe dr web alors


Téléchargez Dr.Web CureIt! : ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
Effectuez un scanet collez le rapport - Choisissez Désinfecter comme option!


puis verifie avec antivir
0

Discussions similaires

répétition sonnerie notifications Samsung
Kcoune -
idem -

20 réponses
répétition notification sms
maya -
Chris 94 -

4 réponses
[outlook] plantage repetitif
zanziboy -
taktak -

5 réponses
Sonnerie de rappel réception sms
Dautzenberg -
Dautzenberg -

2 réponses
Son a répétition
Mimi -
hipi -

1 réponse