PC infecté et pop up Fermé

Question

Bonjour, 
Qd j allume mon PC j ai une petite fenetre qui apparait "warning your pc is infected" (et qui réapparait toutes les 10sec) et une deuxieme fenetre s ouvre pour me proposer un antvirus (SafeShield) payant. 
Et en plus de ca j ai des pop up en permanence... 
Que faut il faire? 
Merci Bcp!

jfkpresident · Answer

Bonsoir ; Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

Charlotte ukfr · Answer

Re bonjour! Merci d avoir répondu si rapidement!

Ca n a pas marché...

Qd j ai cliqué sur executer, la barre de progression est apparue et s est bloquée a un dixieme je dirais
et ensuite une fenetre est apparue "rundll32 a rencontré un pb et doit fermer" et après la barre de progression ne répondait plus...

J ai essayé deux fois 
Au passage je me suis rendue compte que mon gestionnaire de taches avait été désactivé

Pourquoi pas commencer par télécharger highjack? 

merci bcp

jfkpresident · Answer

Pourquoi pas commencer par télécharger highjack? 

Un clone de Hijackthis est inclus dans RSIT ...

On va tenter autrement :

• Télécharge DDO (de Anthony5151) sur ton Bureau
• Lance DDO
• Lis les informations données et appuie sur une touche pour continuer
• Quand DDO te le demandera, tape RSIT.exe et appuie sur la touche Entrée

Charlotte ukfr · Answer

Je viens d essayer, ça n a pas l air de fonctioner non plus
DDO trouvre RSIT, le renomme, puis la fenetre se ferme et rien ne se passe 
J ai re essayé de lancer RSIT et le programme ne répond pas...
Dis moi qu il existe une autre solution?
merci...

jfkpresident · Answer

On va essayer autre chose :

Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Charlotte ukfr · Answer

Yes!!!
voici le lien!
http://www.cijoint.fr/cjlink.php?file=cj200911/cijS1QaKzI.txt 
A ce soir

jfkpresident · Answer

Particularitées si vous avez Windows Vista :

1) Désactivez l'UAC durant toute l'utilisation de Navilog1
2) Toujours lancer Navilog1 via clic-droit "exécuter en tant qu'administrateur"
******

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2  >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

           ===============================
 Télécharges AD-Remover sur ton bureau :


    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "S"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Charlotte ukfr · Answer

Rapport Navilog:
Fix Navipromo version 4.0.5 commencé le 19/11/2009  0:00:14,95

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz )
BIOS : BIOS Version 2.00
USER : Charlotte ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.7.1098 [VPS 080828-0] 4.7.1098 (Activated)
Firewall  : Norton Internet Worm Protection 2006 (Not Activated)

C:\ (Local Disk) - NTFS - Total:92 Go (Free:69 Go)
D:\ (CD or DVD) - UDF - Total:6 Go (Free:0 Go)
F:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Program Files\Live-Player supprimé !
c:\docume~1\alluse~1\menudm~1\progra~1\Live-Player supprimé !
C:\Documents and Settings\Charlotte\applic~1\Live-Player supprimé !
c:\docume~1\alluse~1\bureau\Live-Player.lnk supprimé !
c:\docume~1\charlo~1\locals~1\applic~1	imrela.exe supprimé !
c:\docume~1\charlo~1\locals~1\applic~1	imrela.dat supprimé !
c:\docume~1\charlo~1\locals~1\applic~1	imrela_nav.dat supprimé !
c:\docume~1\charlo~1\locals~1\applic~1	imrela_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Charlotte\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 19/11/2009  0:07:02,42 ***

AD REMOVER
apres toute une nuit, est tjs bloqué a un 5eme de la barre de progression. Mais apparemment le programme répond tjs donc je le laisse mais bon.... Je l ai enregistré sur mon bureau au lieu de l enregistrer dans C/program, c est embetant?

jfkpresident · Answer

Si Ad-remover ne fonctionne pas ,fait ceci a la place :

Télécharge ST_Fix de BatchMan sur ton bureau .


Il ne faut PAS exécuter ST_Fix dans les fichiers temporaires

Fermez vos navigateurs IMPORTANT !

1. Pour Windows Vista vous devez l'éxécuter en temps que Administrateur, pour cela faîtes un clic droit sur le fichier

ST_Fix.bat et cliquez sur Executer en temps que administrateur, si l'uac se déclanche cliquez sur Continuer.

Pour Windows XP un simple double clic sur le fichier ST_Fix.bat suffit pour le lancer.

2. ST_Fix analyse vos navigateurs ( Firefox et Internet Explorer ) et vérifie qu'une des pages lo.st eo.st eorezo... est

imposée. Si c'est le cas il va modifier en quelques secondes les configurations de vos navigateur afin de retrouver une

page d'accueil "normale".

3. Vous pouvez poster le rapport sur le forum en procédent de cette manière:

   1. Pour tout sélectionner: CTRL + A
   2. Pour tout copier : CTRL + C
   3. Pour tout coller : CTRL + V

Charlotte ukfr · Answer

Bonsoir;
voici le rapport de ST Fix

########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a  1:39 le 20/11/2009
# Système d'exploitation: Microsoft Windows XP 
# Service Pack: Service Pack 3 
# Mode de boot: Normal 
# Lancé de C:\Documents and Settings\Charlotte\Bureau\ST_Fix.bat
#
################################ Suppression ###############################
#
# SUPPRIMÉ - C:\Program Files\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\Charlotte\Application Data\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\Charlotte\Application Data\ItsLabel
#
################################## Terminé ################################

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O44 - LFC:Last File Created 17/11/2009 - 08:56:27 ---A- C:\WINDOWS\System32\f.exe       

Relance ZHPDiag sur ton Bureau.

Clique sur la loupe.

Clique sur l'icône Bouclier qui est apparue à coté de la clé à molette.

Clique successivement sur l'icône H puis sur l'icône du moniteur.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
                                                    =====================
Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :  C:\WINDOWS\system32\WPV101258147400.EXE       
                                                                 C:\Program Files\SafeShield Antivirus\SafeAV.exe -run       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Charlotte ukfr · Answer

Bonjour !

Dans la 1ere étape, que veux tu dire par «clique sur l icône du moniteur « ? Ou est cette icône et à quoi ressemble t elle ? Je n ‘ai pas trouvé.

Je n ai donc pas fait la 2eme étape en supposant qu il fallait faire les choses dans l ordre . D ailleurs, il ne faut afficher les dossiers cachés que pour l’étape 2, n’est ce pas ? pas pour ZHPDiag ?

Tu peux m’expliquer ce que c’est cette ligne system 32 ? (pour que je comprenne ce que l on fait)

J attends ton explication sur l icône pour continuer.

jfkpresident · Answer

Hello ;

Dans la 1ere étape, que veux tu dire par «clique sur l icône du moniteur « ? Ou est cette icône et à quoi ressemble t elle ? Je n ‘ai pas trouvé. 

En fait il faut cliquer sur le petit bouclier vert et ensuite sur le pêtit tournevis  ,des cases a cocher doivent apparaitre ,coche celle indiqué .

Tu affiche les dossiers cachés pour la 2eme étape ensuite tu parcourt tes fichiers ensuivant les 2 chemins d'acces que je t'ai donné .

Exemple : 

Tu va dans C:\ (ton disque dur principal) puis le dossier system32 et enfin le fichier WPV101258147400.EXE (double clique dessus pour le transmette a Virustotal)

Charlotte ukfr · Answer

Bonjour !

Désolée je me suis reperdue.

J ai relancé ZHPDiag / cliqué sur la loupe / cliquer sur le bouclier à une deuxième fenetre apparaît.

Ensuite j ai cliqué sur le tournevis qui est dans la première fenetre et la les cases à cocher apparaissent
-	tout doit etre cliqué sauf la ligne 45 et 61 comme la dernière fois ?
-	et après ? je clique sur analyse détaillée (loupe + bouquin)

A quel moment est sensé apparaître la fameuse ligne O44 - LFC:Last File Created 17/11/2009 - 08:56:27 ---A- C:\WINDOWS\System32\f.exe ?

jfkpresident · Answer

J ai relancé ZHPDiag / cliqué sur la loupe / cliquer sur le bouclier à une deuxième fenetre apparaît. 

Sur cette 2eme fenetre tu clique sur "OK" puis tu coche cette case : O44 - LFC:Last File Created 17/11/2009 - 08:56:27 ---A- C:\WINDOWS\System32\f.exe 

Ensuite tu clique sur "Nettoyer" .

Charlotte ukfr · Answer

Bonjour!

1) Voici le rapport de ZHPDiag:

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 23/11/2009 08:42:35
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\f.exe  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan


2) Voici le rapport de C:\WINDOWS\system32\WPV101258147400.EXE 

Fichier aawpv671258147400.exe reçu le 2009.11.19 05:49:11 (UTC)
Situation actuelle: terminé 
Résultat: 10/41 (24.39%)
 Formaté 
Impression des résultats  
Antivirus	Version	Dernière mise à jour	Résultat
a-squared	4.5.0.41	2009.11.19	Trojan-Spy.Win32.Banker.ZQ!IK
AhnLab-V3	5.0.0.2	2009.11.19	-
AntiVir	7.9.1.70	2009.11.18	-
Antiy-AVL	2.0.3.7	2009.11.19	-
Authentium	5.2.0.5	2009.11.18	-
Avast	4.8.1351.0	2009.11.18	-
AVG	8.5.0.425	2009.11.18	-
BitDefender	7.2	2009.11.19	-
CAT-QuickHeal	10.00	2009.11.17	-
ClamAV	0.94.1	2009.11.19	-
Comodo	2979	2009.11.18	Heur.Suspicious
DrWeb	5.0.0.12182	2009.11.19	-
eSafe	7.0.17.0	2009.11.18	Win32.VirToolCeeInje
eTrust-Vet	35.1.7128	2009.11.18	-
F-Prot	4.5.1.85	2009.11.18	-
F-Secure	9.0.15370.0	2009.11.17	-
Fortinet	3.120.0.0	2009.11.18	-
GData	19	2009.11.19	-
Ikarus	T3.1.1.74.0	2009.11.19	Trojan-Spy.Win32.Banker.ZQ
Jiangmin	11.0.800	2009.11.18	-
K7AntiVirus	7.10.899	2009.11.18	-
Kaspersky	7.0.0.125	2009.11.19	-
McAfee	5806	2009.11.18	-
McAfee+Artemis	5806	2009.11.18	Artemis!5D9156CD5978
McAfee-GW-Edition	6.8.5	2009.11.19	Heuristic.BehavesLike.Win32.Obfuscated.H
Microsoft	1.5202	2009.11.18	VirTool:Win32/CeeInject.gen!AH
NOD32	4621	2009.11.19	-
Norman	6.03.02	2009.11.18	-
nProtect	2009.1.8.0	2009.11.18	-
Panda	10.0.2.2	2009.11.18	Suspicious file
PCTools	7.0.3.5	2009.11.19	-
Prevx	3.0	2009.11.19	High Risk Cloaked Malware
Rising	22.22.03.03	2009.11.19	-
Sophos	4.47.0	2009.11.19	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.11.19	-
Symantec	1.4.4.12	2009.11.19	-
TheHacker	6.5.0.2.073	2009.11.18	-
TrendMicro	9.0.0.1003	2009.11.19	-
VBA32	3.12.12.0	2009.11.19	-
ViRobot	2009.11.19.2044	2009.11.19	-
VirusBuster	5.0.21.0	2009.11.18	-
Information additionnelle
File size: 139264 bytes
MD5   : 5d9156cd5978b4795ee8c0882c9e087b
SHA1  : 59370999b4d1c8528a48cb539a27d856689baa12
SHA256: d3559608108bfb3f50876ee5e70d6bea6b21eaccf54de4cc407347147b712687
PEInfo: PE Structure information( base data )entrypointaddress.: 0x42CFtimedatestamp.....: 0x4AFDBC1A (Fri Nov 13 21:05:46 2009)machinetype.......: 0x14C (Intel I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x9066 0xA000 6.20 b33f48075ad988a3959f1282f9a142c0.rdata 0xB000 0x132C 0x2000 3.49 52db462abf2cd0c8a8f4464c29ebb6fd.data 0xD000 0x2718 0x1000 2.94 0f01200ed73eefc99c93d8275bab60c4.rsrc 0x10000 0x13E60 0x14000 7.99 27eaf1c48d0660c9a4059286ce1e9134( 3 imports )> advapi32.dll: OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, CryptAcquireContextA, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptDecrypt> kernel32.dll: GetProcessHeap, VirtualAlloc, VirtualProtect, VirtualFree, HeapAlloc, HeapFree, FreeLibrary, SetEnvironmentVariableA, CompareStringW, GetTickCount, LoadLibraryA, GetProcAddress, FindResourceA, SizeofResource, LoadResource, LockResource, IsBadReadPtr, GetCurrentProcess, GetTimeZoneInformation, GetSystemTime, GetLocalTime, RtlUnwind, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, RaiseException, TerminateProcess, HeapSize, HeapDestroy, HeapCreate, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, IsBadWritePtr, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, GetLastError, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, SetUnhandledExceptionFilter, SetFilePointer, InterlockedDecrement, InterlockedIncrement, IsBadCodePtr, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle, CompareStringA> user32.dll: MessageBoxA( 0 exports )
TrID  : File type identificationWin32 Executable MS Visual C++ (generic) (65.2%)Win32 Executable Generic (14.7%)Win32 Dynamic Link Library (generic) (13.1%)Generic Win/DOS Executable (3.4%)DOS Executable Generic (3.4%)
ssdeep: 3072:t9kiw6mLFP0SakosNa48ooxr+Q+bmk/1akqVvzfzkFiu8X:tA6mLFP0gNqooGb7a5xzrkFbO
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=8CBFFB8500DE33A8201502B930298E008729C9E6
PEiD  : -
RDS   : NSRL Reference Data Set-

3) Voici le rapport de C:\Program Files\SafeShield Antivirus\SafeAV.exe -run

Fichier B3ACFD2A004F61180A300CD453D82700C1BCF148.exe reçu le 2009.11.18 03:14:40 (UTC)
Situation actuelle: terminé 
Résultat: 3/40 (7.50%)
 Formaté 
Impression des résultats  
Antivirus	Version	Dernière mise à jour	Résultat
a-squared	4.5.0.41	2009.11.18	-
AhnLab-V3	5.0.0.2	2009.11.17	-
AntiVir	7.9.1.70	2009.11.17	-
Antiy-AVL	2.0.3.7	2009.11.18	-
Authentium	5.2.0.5	2009.11.17	-
Avast	4.8.1351.0	2009.11.17	-
AVG	8.5.0.425	2009.11.17	-
BitDefender	7.2	2009.11.18	-
CAT-QuickHeal	10.00	2009.11.17	-
ClamAV	0.94.1	2009.11.18	-
Comodo	2970	2009.11.17	Heur.Suspicious
DrWeb	5.0.0.12182	2009.11.18	DLOADER.Trojan
eSafe	7.0.17.0	2009.11.17	-
eTrust-Vet	35.1.7125	2009.11.17	-
F-Prot	4.5.1.85	2009.11.17	-
F-Secure	9.0.15370.0	2009.11.17	-
Fortinet	3.120.0.0	2009.11.17	-
GData	19	2009.11.18	-
Ikarus	T3.1.1.74.0	2009.11.18	-
Jiangmin	11.0.800	2009.11.17	-
K7AntiVirus	7.10.898	2009.11.17	-
Kaspersky	7.0.0.125	2009.11.18	-
McAfee	5805	2009.11.17	-
McAfee+Artemis	5805	2009.11.17	-
McAfee-GW-Edition	6.8.5	2009.11.18	-
Microsoft	1.5202	2009.11.17	-
NOD32	4615	2009.11.17	-
Norman	6.03.02	2009.11.17	-
nProtect	2009.1.8.0	2009.11.17	-
Panda	10.0.2.2	2009.11.17	-
PCTools	7.0.3.5	2009.11.18	-
Rising	22.22.02.01	2009.11.18	-
Sophos	4.47.0	2009.11.18	Mal/Proxy-B
Sunbelt	3.2.1858.2	2009.11.17	-
Symantec	1.4.4.12	2009.11.18	-
TheHacker	6.5.0.2.072	2009.11.18	-
TrendMicro	9.0.0.1003	2009.11.17	-
VBA32	3.12.12.0	2009.11.18	-
ViRobot	2009.11.18.2042	2009.11.18	-
VirusBuster	5.0.21.0	2009.11.17	-
Information additionnelle
File size: 788992 bytes
MD5   : 8a35894b622581f616533695c7419ae8
SHA1  : bed1d13e0017ce478f5226ed6b6f36edd46ba39e
SHA256: 2c08ae699c4aa4a9d59dd4a7186213482d761d5d528402ad1e1d6f9a33363758
PEInfo: PE Structure information( base data )entrypointaddress.: 0x26E800timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)machinetype.......: 0x14C (Intel I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5UPX0 0x1000 0x1D1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427eUPX1 0x1D2000 0x9D000 0x9CA00 7.93 0ac17c6b9b79a07e7a0b4f986e599b27.rsrc 0x26F000 0x24000 0x23C00 5.87 ed1098e081c3d705e446fc88f69ce057( 13 imports )> advapi32.dll: RegOpenKeyA> comctl32.dll: ImageList_Add> gdi32.dll: SaveDC> gdiplus.dll: GdiplusStartup> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess> ntdll.dll: RtlAdjustPrivilege> ole32.dll: OleDraw> oleaut32.dll: VariantCopy> psapi.dll: GetModuleFileNameExA> shell32.dll: SHGetMalloc> user32.dll: GetDC> version.dll: VerQueryValueA> wininet.dll: InternetOpenA( 0 exports )
TrID  : File type identificationUPX compressed Win32 Executable (42.6%)Win32 EXE Yoda's Crypter (37.0%)Win32 Executable Generic (11.8%)Win16/32 Executable Delphi generic (2.8%)Generic Win/DOS Executable (2.7%)
ssdeep: 12288:HyX0MXdUdwEEVTuPpGeWDuore1W+Zp+PrXgRC0MWsvqmdAvtrd5We4whh:6bUwYRzOey1Dmrd5W6
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set-

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Relance ZHPDiag en cliquant sur la loupe .

2/Une fois le scan fini ,clique sur "OK" .

3/Coche ces cases (et pas d'autres !):

C:\Program Files\SafeShield Antivirus\SafeAV.exe       
C:\WINDOWS\system32\WPV101258147400.EXE       
O4 - HKLM\..\Run: [msav] C:\WINDOWS\system32\WPV101258147400.EXE       
O4 - HKCU\..\Run: [SafeShield Antivirus] C:\Program Files\SafeShield Antivirus\SafeAV.exe -run       


4/Pour finir clique sur "Nettoyer" .

Ensuite tu me recolle un nouveau rapport ZhpDiag ,histoire de voir ou on en est et dis moi également comment va le pc ?

charlotte ukfr · Answer

Re

et 2 autres trucs qui rencontrent un pb et doivent fermer

- LVCom Server
- Drwtsn32.exe

jfkpresident · Answer

et 2 autres trucs qui rencontrent un pb et doivent fermer

- LVCom Server
- Drwtsn32.exe

C'est a dire ? Tu as pu lancer ZhpDiag ? As tu "nettoyer" les lignes données ?

charlotte ukfr · Answer

Oups excuse moi c’est normal que tu ne comprennes pas je pensais avoir un message avec le rapport avant celui là d ou mon « re » et visiblement ça n’a pas marché, donc je reprends :

Voici le rapport
ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 23/11/2009 23:37:45
Fichier d'export Registre : C:\ZHPExportRegistry-23-11-2009-23-37-45.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\WINDOWS\system32\WPV101258147400.EXE  => Supprimé et mis en quarantaine
C:\Program Files\SafeShield Antivirus\SafeAV.exe  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKLM\..\Run: [msav] C:\WINDOWS\system32\WPV101258147400.EXE  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [SafeShield Antivirus] C:\Program Files\SafeShield Antivirus\SafeAV.exe -run  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\wpv101258147400.exe  => Fichier absent
c:\program files\safeshield antivirus\safeav.exe  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan


Donc pour reprendre ce que je disais dans le message qui n’est pas arrivé :
Plus de “pc infecté”, plus de safeshield antivirus, ni de pop ups, ça a l’air d aller !

En revanche certaines applications « ne répondent pas et doivent fermer » 
-Rundll32.exe
-Drwtsn32.exe
- LV Com server
- Y common module.exe
Autre chose, qd je fais ctrl alt suppr, j’ai un message d’erreur qui me dit que le gestionnaire de taches a été désactivé par l administrateur…
Et enfn, je n’ai plus non plus l icône « son » en bas à droite de mon écran alors que la case est bien cochée qd je vais dans mon panneau de configuration.
Voilà en gros les petits soucis que j’ai remarqués, une idée sur comment régler tout ça ?

Et j ai qqs questions
1 – est ce que dans tout ça mon antivirus est tjs là ? actif ? est ce que je dois en remettre un autre ?
2 – les dossiers masqués que tu m’as fait afficher, je devrais les re masquer j’imagine ?
3 – dans tout ce que tu m’as fait télécharger, est ce que je peux/dois supprimer certains trucs ?

C’est tout pour l’instant je pense.

Merci énormément !

jfkpresident · Answer

Je comprend mieux ... On va continuer étape par étape afin de ne pas se mélanger les crayons :)

Dans un premier temps je voudrais savoir si tu utilise des clés USB ou disques externes sur ton pc ?

Ensuite on va s'occuper du gestionnaire de taches :

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant : Gestionnaire des tâches
- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC 

Je vais faire également quelques recherches pour les applications qui plantent .

charlotte ukfr · Answer

Bonjour !

1) oui en effet ma carte son intégrée ne fonctionne plus depuis un an déjà, donc j'utilise une carte son externe (clé usb), et d'ailleurs mon PC ne la reconnait plus une fois sur 2 depuis qu'il est infecté, et ça ne s'est pas rétabli.

2) ça n'a pas marché la restauration du gestionnaire des taches, j'ai essayé 2 fois
Premiere fois, une nouvelle application Explorer.exe n'a pas fonctionné, pourtant j'ai eu un message de confirmation de la restauration du gestionnaire de taches, j'ai redémarré, ça n 'a pas marché donc j ai re essayé
La deuxieme fois, Explorer.exe a encore du fermer ensuite j'ai eu un message me disant que la modification du registre a été désactivée par l administrateur et ensuite juste après j'ai eu une nouvelle fois la confirmation que la restauration avait fonctionné, j'ai redémarré, et non tjs pas...

3) et mauvaise nouvelle, et j'aurais peut etre du commencer par ça, la fenetre "your PC is infected. click here to download actual antispyware" est réapparue hier soir! Elle aura donc disparu 24h seulement...

4) et pour terminer, nouvelle application qui ne fonctionne pas et doit fermer (en plus de explorer.exe mentionnée ci dessus) : Regedit.exe.

Voilà…

jfkpresident · Answer

C'est l'infection qui doit désactiver ton gestionnaire ainsi que l'acces a regedit ...

• Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

charlotte ukfr · Answer

Bonjour!

Voici le rapport!


############################## | UsbFix V6.057 |

User : Charlotte (Administrateurs) # CLETELLIER
Update on 25/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 06:58:44 | 26/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.7.1098 [VPS 080828-0] 4.7.1098 [ Enabled | (!) Outdated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006

C:\ -> Disque fixe local # 92,91 Go (70,03 Go free) # NTFS
D:\ -> Disque CD-ROM # 6,67 Go (0 Mo free) [BORAT] # UDF
E:\ -> Disque amovible # 960,11 Mo (823,86 Mo free) # FAT32
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 888
C:\WINDOWS\system32\csrss.exe 964
C:\WINDOWS\system32\winlogon.exe 992
C:\WINDOWS\system32\services.exe 1036
C:\WINDOWS\system32\lsass.exe 1048
C:\WINDOWS\system32\svchost.exe 1264
C:\WINDOWS\system32\svchost.exe 1376
C:\WINDOWS\System32\svchost.exe 1428
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 1480
C:\WINDOWS\Explorer.EXE 1788
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1872
C:\WINDOWS\system32\svchost.exe 2024
C:\WINDOWS\system32\svchost.exe 416
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 628
C:\Program Files\Alwil Software\Avast4\ashServ.exe 680
C:\WINDOWS\system32\spoolsv.exe 1460
C:\Program Files\Creative\Shared Files\CTAudSvc.exe 1960
C:\WINDOWS\system32\svchost.exe 2032
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 1256
C:\WINDOWS\eHome\ehRecvr.exe 1692
C:\WINDOWS\eHome\ehSched.exe 1828
C:\Program Files\Common Files\Motive\McciCMService.exe 1384
C:\WINDOWS\system32
vsvc32.exe 2148
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 2268
C:\WINDOWS\system32\svchost.exe 2520
C:\WINDOWS\system32\svchost.exe 2968
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe 3092
C:\WINDOWS\RTHDCPL.EXE 3428
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe 3556
C:\WINDOWS\ehome\mcrdsvc.exe 3704
C:\WINDOWS\system32\RunDll32.exe 3788
C:\Program Files\BT Broadband Desktop Help\btbb\BTHelpNotifier.exe 3828
C:\WINDOWS\system32\WPV401259104068.EXE 1392
C:\WINDOWS\system32\ctfmon.exe 1312
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe 1100
C:\Program Files\MSN Messenger\MsnMsgr.Exe 1656
C:\Program Files\Logitech\Video\ManifestEngine.exe 2320
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2332
C:\Documents and Settings\Charlotte\Bureau\daemon\DAEMON Tools\daemon.exe 2396
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 800
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2144
C:\WINDOWS\system32\dllhost.exe 2228
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe 3580
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE 3712
C:\WINDOWS\system32undll32.exe 3228
C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe 1252
C:\WINDOWS\System32\alg.exe 3820
C:\WINDOWS\System32\svchost.exe 580
C:\Program Files\Internet Explorer\iexplore.exe 2104
c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe 2064
C:\PROGRA~1\Yahoo!\browser\ycommon.exe 3000
C:\Program Files\BT Broadband Desktop Help\btbb\BTHelpBrowser.exe 3888
C:\WINDOWS\system32\wbem\wmiprvse.exe 1348

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\System32\F.exe 
C:\WINDOWS\System32\sdra64.exe 
C:\DOCUME~1\CHARLO~1\LOCALS~1\Temp\25030c212563bc0f.exe 
E:\autorun.inf  
E:\autorun.inf -> fichier appelé : "E:\RECYCLERecycld.exe " ( Présent ! )  

################## | Registre # Clés infectieuses |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  

################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.057 ! |

jfkpresident · Answer

C'est bien ce que je pensait . (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir • Double clic sur le raccourci UsbFix présent sur ton bureau • Au menu principal choisis l'option " F " pour français et tape sur [entrée] . • Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée] • Ton bureau disparaitra et le pc redémarrera . • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil. • Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau . • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) ========================================= Ensuite essaye de lancer RSIT : Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

charlotte ukfr · Answer

Le rapport:

############################## | UsbFix V6.057 |

User : Charlotte (Administrateurs) # CLETELLIER
Update on 25/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 01:51:06 | 27/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.7.1098 [VPS 080828-0] 4.7.1098 [ Enabled | (!) Outdated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006

C:\ -> Disque fixe local # 92,91 Go (69,98 Go free) # NTFS
D:\ -> Disque CD-ROM # 6,67 Go (0 Mo free) [BORAT] # UDF
E:\ -> Disque amovible # 960,11 Mo (823,86 Mo free) # FAT32
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 888
C:\WINDOWS\system32\csrss.exe 960
C:\WINDOWS\system32\winlogon.exe 988
C:\WINDOWS\system32\services.exe 1032
C:\WINDOWS\system32\lsass.exe 1044
C:\WINDOWS\system32\svchost.exe 1260
C:\WINDOWS\system32\logonui.exe 1324
C:\WINDOWS\system32\svchost.exe 1368
C:\WINDOWS\System32\svchost.exe 1420
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 1476
C:\WINDOWS\Explorer.EXE 1764
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe 1896
C:\WINDOWS\system32\svchost.exe 260
C:\WINDOWS\system32\svchost.exe 452
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 628
C:\Program Files\Alwil Software\Avast4\ashServ.exe 680
C:\WINDOWS\system32\spoolsv.exe 1460
C:\Program Files\Creative\Shared Files\CTAudSvc.exe 2012
C:\WINDOWS\system32\svchost.exe 276
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 312
C:\WINDOWS\eHome\ehRecvr.exe 596
C:\WINDOWS\eHome\ehSched.exe 740
C:\Program Files\Common Files\Motive\McciCMService.exe 1572
C:\WINDOWS\eHome\ehRec.exe 1912
C:\WINDOWS\system32
vsvc32.exe 1952
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 1588
C:\WINDOWS\system32\svchost.exe 2252
C:\WINDOWS\system32\svchost.exe 2328
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe 2480
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe 2596
C:\WINDOWS\ehome\mcrdsvc.exe 3188
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3420
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3464
C:\WINDOWS\system32\dllhost.exe 3540
C:\WINDOWS\System32\alg.exe 3980
C:\WINDOWS\system32\wbem\wmiprvse.exe 3988

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\System32\F.exe 
Non supprimé ! C:\WINDOWS\System32\sdra64.exe 
Supprimé ! C:\DOCUME~1\CHARLO~1\LOCALS~1\Temp\25030c212563bc0f.exe 
E:\autorun.inf -> fichier appelé : "E:\RECYCLERecycld.exe " ( Présent ! )  
Supprimé ! E:\RECYCLERecycld.exe  
Supprimé ! E:\autorun.inf 

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{61278dcb-d277-11dd-90f2-00a0d1558371}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[01/05/2009 23:26|--a------|1024] C:\.rnd 
[19/11/2009 00:19|--a------|981] C:\Ad-Report-SCAN[1].log 
[15/09/2006 13:41|--a------|0] C:\AUTOEXEC.BAT 
[26/03/2007 20:52|-rahs----|209] C:\boot.ini 
[10/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[19/11/2009 00:07|--a------|1743] C:\cleannavi.txt 
[15/09/2006 13:41|--a------|0] C:\CONFIG.SYS 
[?|?|?] C:\hiberfil.sys 
[15/09/2006 13:41|-rahs----|0] C:\IO.SYS 
[09/04/2007 21:00|--a------|90] C:\LogiSetup.log 
[15/09/2006 13:41|-rahs----|0] C:\MSDOS.SYS 
[10/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM 
[20/11/2008 22:01|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[01/04/2007 21:24|--a------|90] C:\Setup.log 
[22/09/2006 22:35|--ah-----|123] C:\SWSTAMP.TXT 
[27/11/2009 01:55|--a------|3992] C:\UsbFix.txt 
[?|?|?] E:\USBC`}E….$ 
[31/01/2008 14:28|--a------|104053] E:\SBXFi.ico 
[07/08/2008 13:26|--a------|2395592] E:\Start.exe 
[13/08/2008 15:00|--a------|139888888] E:\UXASetup.exe 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\CHARLO~1\Bureau\UsbFix_Upload_Me_CLETELLIER.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.057 ! |


Pour RSIT, ca n a encore pas fonctionne, a 1 dixieme de la barre de progression, l'application rundll32 a du fermer et Rsit ne repondait plus.

jfkpresident · Answer

Ton gestionnaire de taches doit etre rétabli ?

Peux tu me recoller un nouveau log ZhpDiag .

jfkpresident · Answer

Il y a toujours quelqu'un ?

charlotte ukfr · Answer

Oui tjs. Desolee, Internet chez moi foire tellement que je te reponds d un autre pc.
Mon gestionaire de taches ne fonctionne tjs pas, mon ordi est tjs infecte, et voici les nouveaux messages que j ai eu hier (en essayant de te repondre)

1) L instruction 0x02B939DA emploie l adresse memoire de 0x02390a0. La memoire ne peut etre read.
2) L instruction 0x02b939da emploie l adresse memoire de 0x02e7a6fc. La memoire ne peut etre read.
3) Runtime error! Program C:\Program files\Internet Explorer\ie explorer.exe This application has requestied the runtime to terminate it in an usual way.

charlotte ukfr · Answer

"Peux tu me recoller un nouveau log ZhpDiag ."
--> tu veux dire te copier coller le rapport que j obtiens en cliquant sur la loupe de ZhpDiag? c est ca?

jfkpresident · Answer

--> tu veux dire te copier coller le rapport que j obtiens en cliquant sur la loupe de ZhpDiag? c est ca?

Oui ,tu relance ZhpDiag et tu me colle le nouveau rapport généré .

Charlotte ukfr · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijmxQkb1l.txt

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Charlotte ukfr · Answer

Bonjour
Les liens ne fonctionnent pas, le 2eme oui mais il m amene sur la page d acceuil du forum et je n'ai pas trouvé combofix
Et je ne sais pas si 
1/ mon antivirus est tjs la
2/ comment le desactiver
l'icone de mon antivirus (j 'en suis pas sure mais je crois) est remplacé par l icone rouge de "pc infecté"

jfkpresident · Answer

Combofix est apparement indisponible ..

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l’outil est sur l’onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

Charlotte ukfr · Answer

GMER 1.0.15.15279 - http://www.gmer.net
Rootkit quick scan 2009-12-13 17:15:24
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\CHARLO~1\LOCALS~1\Temp\uwtiyuow.sys


---- System - GMER 1.0.15 ----

SSDT            sptd.sys                                 ZwEnumerateKey [0xF7393E2C]
SSDT            sptd.sys                                 ZwEnumerateValueKey [0xF73941BA]

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                   86F5E1E8

AttachedDevice  \FileSystem\Ntfs \Ntfs                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

jfkpresident · Answer

Gmer ne donne rien ...

Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...

Charlotte ukfr · Answer

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 6 Model 15 Stepping 6, GenuineIntel
.
Error OpenService (wscsvc) : 1060
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 7.0.5730.13
.
C:\  [Fixed-NTFS] .. ( Total:92 Go - Free:70 Go )
D:\  [CD_Rom]
F:\  [CD_Rom]
.
Scan : 00:07.47
Path : C:\Documents and Settings\Charlotte\Local Settings\Temporary Internet Files\Content.IE5\I6MOEKMB\Rooter[1].exe
User : Charlotte ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (888)
______ \??\C:\WINDOWS\system32\csrss.exe (948)
______ \??\C:\WINDOWS\system32\winlogon.exe (980)
______ C:\WINDOWS\system32\services.exe (1024)
______ C:\WINDOWS\system32\lsass.exe (1036)
______ C:\WINDOWS\system32\svchost.exe (1252)
______ C:\WINDOWS\system32\svchost.exe (1364)
______ C:\WINDOWS\System32\svchost.exe (1416)
______ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe (1456)
______ C:\WINDOWS\Explorer.EXE (1800)
______ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe (1896)
______ C:\WINDOWS\system32\svchost.exe (308)
______ C:\WINDOWS\system32\svchost.exe (412)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (592)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (644)
______ C:\WINDOWS\RTHDCPL.EXE (1564)
______ C:\WINDOWS\system32\RunDll32.exe (1808)
______ C:\Program Files\BT Broadband Desktop Help\btbb\BTHelpNotifier.exe (236)
______ C:\WINDOWS\system32\WPV401259104068.EXE (1612)
______ C:\WINDOWS\system32\spoolsv.exe (2392)
______ C:\WINDOWS\system32\ctfmon.exe (2548)
______ C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe (2676)
______ C:\Program Files\MSN Messenger\MsnMsgr.Exe (2780)
______ C:\Documents and Settings\Charlotte\Bureau\daemon\DAEMON Tools\daemon.exe (2836)
______ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2896)
______ C:\Program Files\Creative\Shared Files\CTAudSvc.exe (3048)
______ C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe (3076)
______ C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe (3672)
______ C:\WINDOWS\system32\svchost.exe (3756)
______ C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE (3856)
______ C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe (3892)
______ C:\WINDOWS\system32undll32.exe (3916)
______ C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe (4004)
______ C:\WINDOWS\eHome\ehRecvr.exe (4068)
______ C:\WINDOWS\eHome\ehSched.exe (1476)
______ C:\Program Files\Common Files\Motive\McciCMService.exe (1320)
______ C:\WINDOWS\system32
vsvc32.exe (508)
______ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe (1964)
______ C:\WINDOWS\system32\svchost.exe (1508)
______ C:\WINDOWS\system32\svchost.exe (1684)
______ C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe (2292)
______ C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (2608)
______ C:\WINDOWS\ehome\mcrdsvc.exe (2444)
______ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (3016)
______ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (3088)
______ C:\WINDOWS\system32\dllhost.exe (3344)
______ C:\WINDOWS\System32\alg.exe (3904)
______ C:\WINDOWS\System32\svchost.exe (1236)
______ C:\Program Files\Internet Explorer\iexplore.exe (800)
______ C:\PROGRA~1\Yahoo!\browser\ycommon.exe (552)
______ c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (3752)
______ C:\Documents and Settings\Charlotte\Local Settings\Temporary Internet Files\Content.IE5\I6MOEKMB\Rooter[1].exe (3464)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:99764388864)
\Device\Harddisk0\Partition2 (Start_Offset:99764421120 | Length:263208960)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 00:08.49
.
C:\Rooter$\Rooter_1.txt - (14/12/2009 | 00:08.49)

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Relance ZHPDiag en cliquant sur la loupe .

2/Une fois le scan fini ,clique sur "OK" .

3/Coche ces cases (et pas d'autres !):

O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\Charlotte\Application Data\Macromedia\Common\74d7803019.exe       
O21 - SSODL: oledll - {96745B67-1930-9130-9024-2009D923BC03} - C:\WINDOWS\system32\w3X0nol2.dll   
O44 - LFC:Last File Created 25/11/2009 - 07:25:10 ---A- C:\WINDOWS\System32\w3X0nol2.dll  

4/Pour finir clique sur "Nettoyer" .

Charlotte ukfr · Answer

Le rapport: 
c est bizarre en regardant le rapport on dirait que j ai une supprimé que 2 lignes sur les 3 alors que j'ai cliqué sur les 3, t'en penses quoi? faudrait que je ré essaie?

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 14/12/2009 22:20:20
Fichier d'export Registre : C:\ZHPExportRegistry-14-12-2009-22-20-20.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96745B67-1930-9130-9024-2009D923BC03}]  => Clé supprimée avec succès
[HKCR\CLSID\{96745B67-1930-9130-9024-2009D923BC03}]  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\Charlotte\Application Data\Macromedia\Common\74d7803019.exe  => Valeur supprimée avec succès
O21 - SSODL: oledll - {96745B67-1930-9130-9024-2009D923BC03} - C:\WINDOWS\system32\w3X0nol2.dll  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\charlotte\application data\macromedia\common\74d7803019.exe  => Supprimé et mis en quarantaine
c:\windows\system32\w3x0nol2.dll  => Supprimé et mis en quarantaine
c:\windows\system32\w3x0nol2.dll  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 3
Logiciel : 0
Autre : 0


End of the scan

jfkpresident · Answer

Comment va le pc et reste t'il des symptomes ?

charlotte ukfr · Answer

Le PC va tres mal vu qu il ne s est jamais redemarre.........
Windows ne se lance plus et me demande si je veux lancer mon PC en mode normal ou avec les anciens parametres tels qu ils etaient avant (ou un truc comme ca) et evidemment rien ne marche
J avais l impression que tu savais ce que tu faisais...

jfkpresident · Answer

J avais l impression que tu savais ce que tu faisais...

Je t'ai fait supprimé : c:\windows\system32\w3x0nol2.dll avec OTM .

Regarde ceci pour preuve que c'est bien un malware : https://www.incodesolutions.com/

En aucuns cas cette action a créér ce soudain probleme ...

jfkpresident · Answer

Peux tu accéder au mode sans echec avec prise en charge du réseau ?

Pour cela démarre en tapotant la touche F8 (ou F5) au démarrage puis selectione "mode sans echec avec prise..." avec les fleches du clavier puis "entrée" .

charlotte ukfr · Answer

Oui j y accede
j arrive automatiquement sur une page qui me donne plusieurs option dont celle la mais ca ne fonctionne pas

jfkpresident · Answer

Et le mode sans echec sans prise en charge du réseau ?

charlotte ukfr · Answer

Rien ne fonctionne

jfkpresident · Answer

As tu le cd d'origine Xp ?

Si oui ,fait ceci :

1/démarre le pc avec le cd d'instal

2/Choisis l'option "installation" 

3/Windows va t'informé qu'une version de Xp est déja installé sur ton pc .

4/Choisis "réparer"

5/windows va remplacer tous les fichiers "corrompus" ou endommagés .

charlotte ukfr · Answer

Oui mais si je fais cette manip la, je perds toutes mes donnees ? on m a dit que je perdais toutes mes donnees...

jfkpresident · Answer

Non ,ce n'est pas un formatage mais une réparation des fichiers endommagés ...Il y a une nette différence entre les deux .