Trojan Fake alert et Malware.Trace

Vinicius -  
 Utilisateur anonyme -
Bonjour, je suis dans la panade à la suite de :
1) un message de AVAST me demande la mise à jour de mon antivirus avec la nouvelle version 5. Je fais la mise à jour, redémarre le système. Tout est OK. Je ferme proprement et vais me coucher.
2) Lendemain. Démarrage du Notebook, Windows/Vista reste bloqué sur <<Bienvenue>> la roue tourne sans démarrer les applis. Plusieurs relances sans succés.
3) Pensant que c'est la mise à jour Avast qui a tout bloqué, j'ai "betement" desinstallé AVAST en mode sans echec. Pb idem.
J'ai fait une restauration du systéme au point de restauration avant la mise à jour d'Avast. Pas mieux.
4) je passe Malwarebytes qui détecte 2 fichiers infectés et les mets en quarantaine ===>

Type de recherche: Examen rapide
Eléments examinés: 128385
Temps écoulé: 6 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\jacques administrat\AppData\Roaming\videovrx.vxd (Malware.Trace) -> Quarantined and deleted successfully.
C:\END (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Mais le problème n'est pas résolu pour autant ???

5) Je telecharge Bitdefender QuickScan en mode sans echec, toujours, puisque le mode normal ne veut pas fonctionner au dela de Bienvenue ? Le scan se plante aprés 47% d'execution ??

6) J'ai fini par trouver un site américain Fake Alert Trojan Removal annoncé comme gratuit et qui aprés analyse me garantit la suppression du virus moyennant....... le paiement par CB de 40 $ !!

7) j'ai essayé de passer Housecall de Secuser.com. Visiblement il ne se charge pas en mode sans echec.

Reste-t-il d'autres solutions à tester pour résoudre ce pb ?? Avant d'envisager de ré-installer Vista ???
MERCI DE VOTRE AIDE;

62 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

La question porte sur une mise à jour Avast vers la version 5 qui empêche le démarrage de Windows Vista, bloquant l'écran Bienvenue et ne laissant fonctionner le mode normal qu'en mode sécurisé. Des tentatives de réparation en mode sans échec montrent une progression limitée et des outils antivirus non démarrent; Malwarebytes signale deux éléments infectés, Malware.Trace et Trojan.FakeAlert, qui sont mis en quarantaine, sans rétablir le démarrage. Pour avancer, plusieurs proposent d'autres antivirus compatibles avec le mode sans échec, des analyses externes comme AVG ou Bitdefender, et une éventuelle réinstallation du système, tout en soulignant l'importance des sauvegardes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Vinicius
     
    Merci Guillaume pour ce processus bien clair que j'ai suivi à la lettre, mais ça s'est mal terminé :
    1) Le scan se déroule bien et se termine par un message d'avertissement pour me dire qu'il va supprimer 2 fichiers quer je n'ai pas eu le temps de noter car il a aussitot redémarré le PC !
    Pas de demande pour Installer la console de récupération ?

    2) Au redémarrage automatique en mode normal, il va au delà du message Bienvenue et reste bloqué sur un écran noir, vide ??? Desesperement.......

    3) J'ai donc fini par redémarrer en mode sans echec où tout fonctionne presque normalement.

    4) Pas de rapport dans le bloc-notes ni de fichier combofix.txt ?

    Si ça t'inspire.......
    0
  2. Utilisateur anonyme
     
    Re

    N'as tu aucun fichier de présent sur C et qui porte ce nom:Combofix.txt ?

    Pour vérifications et informations complémentaires, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+
    0
  3. Vinicius
     
    Rebonjour,
    J'ai relancé Vista toujours en mode sans echec. Cette fois, IE a demarré normalement (??) et j'ai donc recupéré le rapport ci-dessous :
    ComboFix 10-03-26.02 - jacques administrat 27/03/2010 9:32.1.2 - x86 NETWORK
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3036.2506 [GMT -4:00]
    Lancé depuis: c:\users\jacques administrat\Desktop\asdehi.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .
    [i] ADS - drivers: deleted 204 bytes in 1 streams. /i

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\progra~1\GbPlugin\gbiehUni.dll
    .
    ---- Exécution préalable -------
    .
    c:\$recycle.bin\S-1-5-21-2674780754-2634752916-325387951-500
    c:\bancobrasil\officePLUGIN\index.html
    c:\users\jacques administrat\AppData\Roaming\.#
    c:\users\jacques administrat\AppData\Roaming\avsdrv
    c:\users\jacques administrat\AppData\Roaming\preferred
    c:\windows\eSellerateEngine.dll
    c:\windows\Suyin.reg

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-27 au 2010-03-27 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-27 13:37 . 2010-03-27 13:37 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-03-26 21:48 . 2010-03-27 14:28 -------- d-----w- c:\users\jacques administrat\AppData\Local\temp
    2010-03-26 21:42 . 2010-03-26 21:51 -------- d-----w- C:\asdehi
    2010-03-26 18:19 . 2010-01-26 18:01 81920 ----a-w- c:\windows\eSellerateControl350.dll
    2010-03-26 18:19 . 2010-03-26 18:36 -------- d-----w- c:\program files\Fake Alert Trojan Removal Tool[1]
    2010-03-26 13:44 . 2010-03-26 13:44 -------- d-----w- C:\$AVG
    2010-03-26 12:59 . 2010-03-26 12:59 12464 ----a-w- c:\windows\system32\avgrsstx.dll
    2010-03-26 12:59 . 2010-03-26 12:59 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-03-26 12:59 . 2010-03-26 12:59 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
    2010-03-26 12:59 . 2010-03-26 12:59 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\windows\system32\drivers\Avg
    2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\programdata\avg9
    2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\program files\AVG
    2010-03-25 22:53 . 2010-03-25 23:05 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\QuickScan
    2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\Malwarebytes
    2010-03-25 12:53 . 2010-01-07 20:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\programdata\Malwarebytes
    2010-03-25 12:53 . 2010-01-07 20:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-23 11:49 . 2010-03-24 22:50 -------- d-----w- c:\programdata\Alwil Software
    2010-03-22 20:48 . 2010-03-22 20:48 -------- d-----w- c:\program files\Innomatix
    2010-03-12 10:43 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-03-12 10:43 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
    2010-03-12 10:43 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-27 14:28 . 2009-05-03 15:34 -------- d-----w- c:\program files\GbPlugin
    2010-03-26 19:20 . 2009-05-21 19:40 1356 ----a-w- c:\users\jacques administrat\AppData\Local\d3d9caps.dat
    2010-03-24 22:05 . 2009-06-19 21:32 -------- d-----w- c:\program files\Alwil Software
    2010-03-24 20:58 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-24 20:58 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-24 20:45 . 2009-04-19 19:59 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\Skype
    2010-03-24 11:21 . 2009-05-03 15:34 -------- d-----w- c:\programdata\GbPlugin
    2010-03-23 11:53 . 2009-04-18 20:17 81899 ----a-w- c:\programdata\nvModes.dat
    2010-03-22 22:16 . 2009-01-15 22:21 -------- d-----w- c:\programdata\eSobi
    2010-03-12 11:42 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-03-12 10:51 . 2009-01-15 21:32 -------- d-----w- c:\programdata\Microsoft Help
    2010-02-25 10:48 . 2009-12-17 11:35 70672 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
    2010-02-24 14:16 . 2009-10-03 12:02 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-18 13:20 . 2009-10-16 23:56 30752 ----a-w- c:\windows\system32\drivers\GbpKm.sys
    2010-02-08 10:57 . 2010-02-08 10:57 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb122B.tmp.exe
    2010-01-25 12:00 . 2010-02-24 20:28 471552 ----a-w- c:\windows\system32\secproc_isv.dll
    2010-01-25 12:00 . 2010-02-24 20:28 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
    2010-01-25 12:00 . 2010-02-24 20:28 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
    2010-01-25 12:00 . 2010-02-24 20:28 471552 ----a-w- c:\windows\system32\secproc.dll
    2010-01-25 11:58 . 2010-02-24 20:28 332288 ----a-w- c:\windows\system32\msdrm.dll
    2010-01-25 08:21 . 2010-02-24 20:28 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
    2010-01-25 08:21 . 2010-02-24 20:28 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
    2010-01-25 08:21 . 2010-02-24 20:28 518144 ----a-w- c:\windows\system32\RMActivate.exe
    2010-01-25 08:21 . 2010-02-24 20:28 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
    2010-01-23 09:26 . 2010-02-24 20:28 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-01-06 15:39 . 2010-02-24 20:26 1696256 ----a-w- c:\windows\system32\gameux.dll
    2010-01-06 15:38 . 2010-02-24 20:26 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
    2010-01-06 15:38 . 2010-02-24 20:26 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
    2010-01-06 15:38 . 2010-02-24 20:26 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
    2010-01-06 15:38 . 2010-02-24 20:26 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
    2010-01-06 15:38 . 2010-02-24 20:26 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
    2010-01-06 13:30 . 2010-02-24 20:26 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
    2010-01-02 06:38 . 2010-01-22 11:36 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-01-02 06:32 . 2010-01-22 11:36 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-01-02 06:32 . 2010-01-22 11:36 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-01-02 04:57 . 2010-01-22 11:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
    @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
    [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
    2008-07-29 16:52 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-27 24103720]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "AbacastDistributedOnDemand:11"="c:\users\jacques administrat\AppData\Local\AbacastDistributedOnDemand\Node\11\AbacastDistributedOnDemand.exe" [2009-04-15 54712]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-09-18 6294048]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-23 30192]
    "ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-11-28 417792]
    "eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-09-11 544768]
    "eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-28 13601312]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-28 92704]
    "PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
    "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-06-04 817672]
    "ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-10-08 147456]
    "PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-10-17 167936]
    "CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2009-03-18 173352]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]
    "Skytel"="Skytel.exe" [2008-09-18 1833504]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "GrpConv"="grpconv -o" [X]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2010-02-18 13:19 323360 ----a-w- c:\program files\GbPlugin\gbieh.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL,avgrsstx.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):1a,72,d9,ab,58,6c,ca,01

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-26 216200]
    R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-26 916760]
    R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-26 308064]
    R2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-10-04 69632]
    R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-11-28 24576]
    R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe [2006-10-31 77824]
    R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2010-02-18 54048]
    R2 gupdate1c9c1295ae12f74;Service Google Update (gupdate1c9c1295ae12f74);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 133104]
    R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
    R3 A310;AVerMedia A310 DVB-T;c:\windows\system32\DRIVERS\AVerA310USB.sys [2008-07-03 26752]
    R3 BDASwCap;AVerMedia A310 BDA DVBT Capture Device;c:\windows\system32\drivers\AVerA310Cap.sys [2008-07-03 47104]
    R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe [2006-10-31 1990656]
    R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-23 30192]
    R3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-05-05 3658752]
    R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
    R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-12-28 45600]
    R3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [2008-05-26 81704]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2010-02-18 30752]
    S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-03-26 242696]
    S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 19:59]

    2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 19:59]

    2010-03-24 c:\windows\Tasks\User_Feed_Synchronization-{373B1330-436A-48EF-9D30-28952EF5C8D4}.job
    - c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]
    .
    .
    ------- Examen supplémentaire -------
    .
    mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0309&m=aspire_6930zg
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    Trusted Zone: bancobrasil.com.br\www2
    DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab
    DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-eRecoveryService - (no file)
    HKLM-RunOnce-<NO NAME> - (no file)
    ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399008} - c:\progra~1\GbPlugin\gbiehUni.dll
    Notify- GbPluginUni - c:\progra~1\GbPlugin\gbiehUni.dll
    AddRemove-Notification de cadeaux MSN - c:\users\jacques administrat\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-27 10:30
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(1752)
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\conime.exe
    c:\windows\system32\conime.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-03-27 10:34:10 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-03-27 14:34

    Avant-CF: 90 875 092 992 octets libres
    Après-CF: 90 674 765 824 octets libres

    - - End Of File - - 0F8D4E208A664A90790D8F88690CD1E7
    0
  4. Utilisateur anonyme
     
    Bonjour

    1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
    Ici : : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

    # Choisi l option 2 (Suppression)

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    2)Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    * Va dans démarrer puis panneau de configuration
    * Double Clique sur l'icône "Comptes d'utilisateurs"
    * Clique ensuite sur désactiver et valide.

    3)* Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

    * Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option "Nettoyer" et sur [entrée] .

    * Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparaît à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche): http://pagesperso-orange.fr/NosTools/tuto_adr_2.html

    poste les rapports au fur et à mesure;merci

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Vinicius
     
    suite.....Voilà le fichier zhp.txt

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijnA4IOPg.txt

    En attendant de tes nouvelles, merci d'avance.
    0
  7. Utilisateur anonyme
     
    Re

    Fait ce qui est mentionné dans mon précèdent post ;merci

    @+
    0
  8. vinicius
     
    Re,
    1) USBFix s'est bien deroulé, a terminé, redemarré l'ordinateur sans rien demander et je n'ai vu ni ne trouve aucun rapport USBFix.txt ??

    2) Ad-Remover s'est bien deroulé, a visiblement fait du ménage et emis ce rapport :
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 27/03/10 à 10:40
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 17:11:19 le 27/03/2010 | Mode sans echec | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
    Nom du PC: PC-DE-JACQUES | Utilisateur actuel: jacques administrat (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Program Files\Bandoo

    (!) -- Fichiers temporaires supprimés.
    .
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    .
    (Orpheline) HKLM,Run - Windows Defender - %ProgramFiles%\Windows Defender\MSASCui.exe
    (Orpheline) HKLM,Run - RtHDVCpl - RtHDVCpl.exe
    (Orpheline) HKLM,Run - Skytel - Skytel.exe
    Orpheline BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    .
    * Internet Explorer Version 8.0.6001.18882 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Users\JACQUE~1\AppData\Local\Temp: 0 Fichier(s), 3 Dossier(s)
    C:\Users\jacques administrat\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 69 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 1 Fichier(s)
    C:\Ad-Remover\Backup: 15 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 2458 Octet(s)
    .
    Fin à: 17:15:23, 27/03/2010
    .
    ============== E.O.F - CLEAN[1] ==============

    ***************Remarques
    Ad-Remover a demandé a redemarrer Windows, j'ai dit oui.
    Il a redemarré en mode normal beaucoup plus loin avec accés à toutes les icones d'appli sur le bureau et puis le système s'est planté et redemarré. Comme je n'avais pas remis le controle utilisateur, je l'ai remis en mode sans echec puis relancé en mode normal, mais cette fois ça bloque sur le controle utilisateur, je ne peux pas cliquer sur l'icone administrateur ????
    0
  9. Utilisateur anonyme
     
    Bonjour

    Le rapport UsbFix est là normalement:C:\UsbFix.txt

    Ton PC démarre t'il normalement?
    Tu veux installer Avast 5 et tu disposes déjà de AVG9.

    @+

    0
  10. vinicius
     
    Salut,
    Tes remarques me surprennent, je croyais avoir expliqué clairement le pb .
    Je ne tiens pas spécialement á installer Avast 5.0. Jusqu'ici j'avais la 4.8 qui fonctionnait sans probléme.
    Je reviens au probléme de base :
    Ma licence étant expiré, Avast m'a proposé d'installer la derniére version 5.0, ce que j'ai fait. C'est alors que les emm... ont commencé, c'est á dire bloquage du lancement de Windows sur les icones utilisateur ou sur le message Bienvenue.
    Depuis, mon PC fonctionne uniquement en mode sans echec
    J'ai eu le tort de desinstaller complétement Avast en mode sans echec et voulu réinstaller la 4.8, impossible en mode sans echec .

    Pour n pas rester sans antivirus, j'ai donc cherché un antivirus installable en mode sans echec et j'ai trouvé AVG que j'ai installé sans probleme, lancé un scan qui n'a rien trouvé. Je peux t'envoyer le rapport si ça peut aider.
    J'ai trouvé MalwareBytes qui m'a signalé les virus Trojan Fake alert et Malware.Trace et les a mis en quarantaine.

    Revoir mon tout 1er message pour le reste et tout ce que j'ai essayé ensuite uniquement sur tes conseils.
    J'en suis toujours au meme stade :
    1) En mode normal, Windows ne démarre pas au delá des icones utilisateurs ou du message bienvenue
    2) En mode sans echec, je peux pratiquement tout faire sauf les fonctions supprimées dans ce mode (Audio par exemple).
    3) Le rapport USBFix n'est pas dans mon PC, je peux te le garantir.
    Tous ces logiciels de réparation demandent á redemarrer le PC pour completer. Au redémarrage c'est en mode normal si je ne fais pas gaffe (F8) et donc plantage. Je vais essayer de repasser USBFix et suivre de prés le redémarrage.
    @+.
    0
  11. vinicius
     
    le rapport AVG :
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijTAYSOll.txt
    0
  12. Utilisateur anonyme
     
    Re

    C'est toi qui à crypté tous ces fichiers?

    Je croyais voir un UsbFix.

    @+
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  13. vinicius
     
    1) J'ai donc repassé USBFix, uniquement le rapport (option 1) . Voir ci-dessous.
    Au redémarrage, visiblement il ne peut pas se relancer en mode sans echec.

    2) Effectivement, je me suis posé la meme question. Pourquoi tous ces fichiers sont-ils verouillés ??
    Ce PC fonctionne depuis 1 an sans ré-installation avec tout ça pré-chargé ACER.
    Je n'ai d'ailleurs pas de DVD de ré-installation et ma sauvegarde ACER n'est pas accesible en mode sans echec !!
    ============le rapport USBFix :

    User : jacques administrat (Administrateurs) # PC-DE-JACQUES
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 09:31:33 | 28/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18882
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 143,04 Go (84,27 Go free) [ACER] # NTFS
    D:\ -> Disque fixe local # 139,5 Go (122,13 Go free) [DATA] # NTFS
    E:\ -> Disque amovible # 3,84 Go (128,29 Mo free) [UDISK 2.0] # FAT32
    F:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  14. vinicius
     
    Aprés passage de AswClear, il me dit que Avast 5 a bien été supprimé et au redémarrage va un peu plus loin que les icones user. Il affiche toutes les icones des applis du bureau et continue de tourner puis affiche sur ecran noir un long message disant qu'íl y a un probleme et qu'íl va redemarrer, mais il ne laisse pas le temps de lire tout le msg et redémarre en se bloquant de nouveau sur les icones user ???
    Sais-tu comment l'arreter pour pouvoir lire le msg ?
    0
  15. Utilisateur anonyme
     
    Re

    Désinstalle également AVG.
    et passe cet utilitaire.
    Utilitaire de désinstallation d'AVG avgremover.exe
    http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

    Tiens moi au courant.
    @+
    0
  16. vinicius
     
    Compte tenu de tout ça, j'ai carrément restauré une version de Windows á un point de restauration de plusieurs jours 21/03 et je me retrouve sans AVG mais avec avast 4.8 qui ne démarre plus, j'ai refait un AwsClear. Resultat : meme punition, meme motif ?
    0
  17. Utilisateur anonyme
     
    re

    Si tu veux te débrouiller tout seul ,fait le moi savoir...
    On ne va pas reprendre tout depuis le début.
    Donc;reviens à aujourd'hui avec la restauration.
    Ou alors ma contribution s'arrêtera là.
    Tiens moi au courant;merci
    @+
    0
  18. vinicius
     
    OK, OK, excuses c'etait une idée (mauvaise ?)
    J'ai reinstallé le dernier point de restauration mais ça remonte á avant la panne puisque tout ce qui a été fait ensuite était en mode sans echec (pas de checkpoint)>
    Desolé, mauvaise initiative.
    Pour l'instant, je vais aller déjeuner , je ne suis pas en France, nous avons 5 heures de décalage horaire 13h 54 pour moi.
    0
  19. vinicius
     
    Re,
    Si tu es toujours d'accord pour m'aider, je peux á partir de la version restaurée avant le bug, repasser tous les outils. C'est l'affaire de qq heures...
    On en reviendra au meme point.
    Dis moi si ça vaut le coup.
    0
  20. vinicius
     
    Salut,
    C'est la loi de de l'emm... maximum.
    J'ai passé ZHPDiag qui m'affiche le rapport mais ne le sauve pas en .txt (?)
    J'ai essayé de te l'envoyer en copié collé, le forum bloque (impossible de valider l'envoi ). Il doit etre trop gros.??
    0
  • 1
  • 2
  • 3
  • 4