Ordinateur o_O (les virus)

Résolu
shareaza15 Messages postés 723 Statut Membre -  
plopus Messages postés 6113 Statut Contributeur sécurité -
Bonjour,tous le monde
Mon ordi ne marche pas bien ralenti et ya une erreur "exception processing message c0000013 Parameters (truc incopiable)"
J'ai fait un scan par comodo il a trouvé 67 virus donc j'ai eliminé des trucs de restauration comme virus mais un fichier dans C:\Windows \installer je n'ai pas eu le courage de le virer
Après ceci en essayant de faire un scan avec hitman pro il y a une erreur du fichier executable
Je suis deboussolé je ne sais pas quoi faire donc je vous demande conseil
voila un log de rsit:
Logfile of random's system information tool 1.06 (written by random/random)
Run by motec at 2009-12-12 17:17:40
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 30 GB (27%) free of 114 GB
Total RAM: 1982 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:10, on 12/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\UltraVNC Addons\uvnc_service.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Hitman Pro 3.5\HitmanPro35.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\motec\Mes documents\M.I\docs\Logiciels\RSIT_1.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\trend micro\motec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: SBCONVERT - {A1056498-D09A-41E4-864B-505EDD640D9E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HitmanPro35] "C:\Program Files\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\DOCUME~1\motec\LOCALS~1\Temp\E_SA3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{95B5D476-2D6C-4720-BD48-9788B4B976B7}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4148975-C818-485C-A0FA-27891A4FD8C0}: NameServer = 156.154.70.25 156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAC13AB6-DE94-4B22-9FEA-A5C0FCD34DD6}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Uvnc_service - Unknown owner - C:\Program Files\UltraVNC Addons\uvnc_service.exe
A voir également:

195 réponses

Précédent
Réponse 121 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
double clic sur le parapluie rouge d'antivir, a gauche clic dans l'onglet rapport

et poste le scan que tu as fait

puis poste un nouveau RSIT
0
Réponse 122 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
en plus de cela

tu retentera GMER en DECOCHANT LA case files (en plus des autres)

et si ce n'etait pas deja le cas avant, en dessous de files, tu coche juste la partiton C:

et refait GMER et poste le log si sa marche
0
Réponse 123 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour et desolé
Le PC a été redemarer alors que le scan n'était pas completement terminé( Les Enfants :( )
Merci pour ta comprehension , je refais le scan
0
Réponse 124 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Le forum ne supporterait surement pas ce raport car j'ai trouver quelque 1200 virus :(
Voila le lien cjoint https://www.cjoint.com/?bpqFspoCUk

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 125 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
tu as viruT qui refait surface....

puis DESACTIVE ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information

et LAISSE LA desactiver, tu ne la réactive pas

ensuite tente GMER

puis poste un nouveau RSIT


puis

tu fait tout les scans de cette page http://www.commentcamarche.net/faq/sujet-16138-comment-supprimer-virut

et tu poste les rapports.


tu songe pas encore au formatage ? t'es coriace toi ^^

0
Réponse 126 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour
Je veux faire les scans sur la page que tu as precisé d'abord, tu confirme?
Merci de repondre vite (ce virut m'inquiete)
0
Réponse 127 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
non, GMER doit toujours etre ta priorité meme si vu les symptomes je doute qu'il marche, fait d'abord sa

ta pas retelechargé sur le P2P toi ? ou sur des sites pas recommendable ?

ensuite passe au scans du lien une fois les 3 ou 4 fait, et les rapports postés, tu poste un nouveau RSIT.
(sachant que certains fix ne marchent que en MSE donc tu ne pourras pas les faire, si il est toujours bloqué..lit bien et execute ce qu'il dise dans la mesure du possible...si le fix ne marche pas en mode normal tant pis, passe au reste)
0
Réponse 128 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour
Pour le scan Gmer il s'est terminé normalement a part que le PC a quand meme bugé un peu mais le raport y est, pour la P2P je ne l'utilise plus de meme pour les sites dangereux...
Donc voila le raport et je passe au scans de la page...:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-16 08:59:24
Windows 5.1.2600 Service Pack 3
Running: dkxe37wl.exe; Driver: C:\DOCUME~1\motec\LOCALS~1\Temp\pwwiipod.sys


---- System - GMER 1.0.15 ----

SSDT B9EBF4BE ZwCreateKey
SSDT B9EBF4B4 ZwCreateThread
SSDT B9EBF4C3 ZwDeleteKey
SSDT B9EBF4CD ZwDeleteValueKey
SSDT B9EBF4D2 ZwLoadKey
SSDT B9EBF4A0 ZwOpenProcess
SSDT B9EBF4A5 ZwOpenThread
SSDT B9EBF4DC ZwReplaceKey
SSDT B9EBF4D7 ZwRestoreKey
SSDT B9EBF4C8 ZwSetValueKey
SSDT B9EBF4AF ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.d)+\OpenWithProgids@d)\x256c_auto_file

---- EOF - GMER 1.0.15 ----

Merci
0
Réponse 129 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ok continue avec les autres scans de la page

http://www.commentcamarche.net/faq/sujet-16138-comment-supprimer-virut


tu as bien laisser desactiver ta restauration systeme ?
DESACTIVE ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information­olume-information

laisse la desactiver
0
Réponse 130 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
t'inquiete, elle est desactivée
Et pour te tenir au courant, je suis encore au premier scan depuis le matin (il y est presque)
Merci
0
Réponse 131 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour
Le scan de DR. Web est terminé (tu remarquerais que la mjorité ecrasante (l'expression n'est pas suffisante) est les fichiers de restauration qu'a trouvé avira)
Le fichier est un (excel) alors je l'ai hebergé chez cjoint, voila le lien (j'ai du le compresser) :
https://www.cjoint.com/?bqvwiKGN07
Merci, je passe a la suite
0
Réponse 132 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour
Le scan de DR. Web est terminé (tu remarquerais que la mjorité ecrasante (l'expression n'est pas suffisante) est les fichiers de restauration qu'a trouvé avira)
Le fichier est un (excel) alors je l'ai hebergé chez cjoint, voila le lien (j'ai du le compresser) :
https://www.cjoint.com/?bqvwiKGN07
remarque: je ne suis pas en mesure de faire aucun des scans restants puisque le MSE n'est pas accessible, donc j'attend tes instructions
Merci
0
Réponse 133 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
BONSOIR

LE RAPPORT EST ILLESIBLE

a tu la possibilité de le poste sur le forum au pire

c'est pas normal qu'il te trouve des virus dans C:\sustemeVolumeInformation

si tu as desactiver ta restauration systeme !!!

regarde bien qu'elle est desactiver.

dans le lien donnée, il dise de faire les scans en MSE mais il me semble que certains outils fonctionne en mode normal, d'autres non... essaye les

et après tu poste un nouveau RSIT pour voir
0
Réponse 134 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Bonjour
Pour le raport, je l'ai hebergé une autre fois et en mode de compatibilité avec ms office 2003 voila le lien https://www.cjoint.com/?bqvU3LTvF0
Et pour les virus qu'il a trouvé, je m'excuse je n'ai pas été assez clair, Dr Web a trouvé la QUARANTAINE de avira pleine de virus
Et pour les scans je vais essayer
Merci
0
Réponse 135 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
pareil pour le lien.on voit rien, essaye le avant de le poster....copie le sur un document texte (clic droit nouveau/doucment/texte)


et bien vide la

clic sur le parapluie rouge

clic sur administration a gauche puis quarantaine et supprime tous ce qui s'y trouve

fait pareil pour malwarebyte si c'est pas deja fait

et continue le reste a savoir les essai avec les outils en mode normal puis le RSIT
0
Réponse 136 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Mais tu dois telecharger le fichier a propos de Dr Web...
Merci j'execute
0
Réponse 137 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ya pas de fichier je te colle ce que j'ai ??!!



Rar!�ϐs��
�������–¦t .�H¥���<Å$ãv­0<3 � ���DrWeb.xlt�ðP®BUULÈÜâ:“Všë°Ÿà^mŒchæîŽÂlm€àØ2& È´Úm7ä$›`Áƒ'à @$$ p„„,H„@Œ±$.²…–2Ä,À„!ï¸Ö³œùù.úo¶k{Úi&ÜXûŒO'仞w½æuÍn«Uª³­ÕW8ÿÆÖkUU­kåV«XÞ÷_*¾f«–;ǃË?Äûï½ë'ê>³Å~V÷rþyÍîù½ûÜî¯{¨Õáõ¹ÿzNPxë÷ºž1÷眾5Ç¿û6ýÌÏû—Jý~s÷ê»ãõî_¿WÓ?^éûìºwëôŸ¿]™cõ}ŸR;꟮wÿ½ü{Ÿû=ô™¯|ú&÷L{éÛ‡®Üïug¾úÝco·~nþÞŽAž) x#߃oÞ¼3xvñ
â[Å7‹oÞ5¼sxöæ7o"ÞI¾¼›yFøò­ðMå›àÛË·˜n¹¾·4+LÓµ
KTÕ

tu vois le delire

( tu clic sur ton lien quand meme pour voir si il marche ? tu arrive a telecharger ton fichier ? )
0
Réponse 138 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
Je suis vraiment désolé
Mais chez moi, ca amrche a merveille, si tu ne fait pas de sorte, c'est un fichier compressé (.rar) et il contient un fichier excel
et puis je l'ai copié dans le bloc note et compressé puis hebergé ici https://www.cjoint.com/?brnQnHetf7 j'espere que tu arrivera a voir le raport
Merci (je fais les scans)
0
Réponse 139 / 195
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
toujours pas...

pourqu'oi tu veux compressé ton rapport

laisse le en FORMAT .txt (clic droit nouveau/document/ texte)

copie colle le rapport dedans, enregistre le puis heberege directement le fichier .txt sur cijoint

mais sinon tants pis continue le reste et poste les rapport que tu arrive a faire en mode normal et après le nouveau RSIT
0
Réponse 140 / 195
shareaza15 Messages postés 723 Statut Membre 26
 
La
je suis sur que ca va marcher https://www.cjoint.com/?brocOVXNdw
Merci
0