Sujet Précédent Sujet Suivant

Trojan Fake alert et Malware.Trace

Fermé
Vinicius - 26 mars 2010 à 21:37
 Utilisateur anonyme - 21 avril 2010 à 18:34
Bonjour, je suis dans la panade à la suite de :
1) un message de AVAST me demande la mise à jour de mon antivirus avec la nouvelle version 5. Je fais la mise à jour, redémarre le système. Tout est OK. Je ferme proprement et vais me coucher.
2) Lendemain. Démarrage du Notebook, Windows/Vista reste bloqué sur <<Bienvenue>> la roue tourne sans démarrer les applis. Plusieurs relances sans succés.
3) Pensant que c'est la mise à jour Avast qui a tout bloqué, j'ai "betement" desinstallé AVAST en mode sans echec. Pb idem.
J'ai fait une restauration du systéme au point de restauration avant la mise à jour d'Avast. Pas mieux.
4) je passe Malwarebytes qui détecte 2 fichiers infectés et les mets en quarantaine ===>

Type de recherche: Examen rapide
Eléments examinés: 128385
Temps écoulé: 6 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\jacques administrat\AppData\Roaming\videovrx.vxd (Malware.Trace) -> Quarantined and deleted successfully.
C:\END (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Mais le problème n'est pas résolu pour autant ???

5) Je telecharge Bitdefender QuickScan en mode sans echec, toujours, puisque le mode normal ne veut pas fonctionner au dela de Bienvenue ? Le scan se plante aprés 47% d'execution ??

6) J'ai fini par trouver un site américain Fake Alert Trojan Removal annoncé comme gratuit et qui aprés analyse me garantit la suppression du virus moyennant....... le paiement par CB de 40 $ !!

7) j'ai essayé de passer Housecall de Secuser.com. Visiblement il ne se charge pas en mode sans echec.

Reste-t-il d'autres solutions à tester pour résoudre ce pb ?? Avant d'envisager de ré-installer Vista ???
MERCI DE VOTRE AIDE;

62 réponses

Réponse 1 / 62
Vinicius
26 mars 2010 à 23:34
Merci Guillaume pour ce processus bien clair que j'ai suivi à la lettre, mais ça s'est mal terminé :
1) Le scan se déroule bien et se termine par un message d'avertissement pour me dire qu'il va supprimer 2 fichiers quer je n'ai pas eu le temps de noter car il a aussitot redémarré le PC !
Pas de demande pour Installer la console de récupération ?

2) Au redémarrage automatique en mode normal, il va au delà du message Bienvenue et reste bloqué sur un écran noir, vide ??? Desesperement.......

3) J'ai donc fini par redémarrer en mode sans echec où tout fonctionne presque normalement.

4) Pas de rapport dans le bloc-notes ni de fichier combofix.txt ?

Si ça t'inspire.......
0
Réponse 2 / 62
Utilisateur anonyme
26 mars 2010 à 23:49
Re

N'as tu aucun fichier de présent sur C et qui porte ce nom:Combofix.txt ?

Pour vérifications et informations complémentaires, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+
0
Réponse 3 / 62
Vinicius
27 mars 2010 à 16:19
Rebonjour,
J'ai relancé Vista toujours en mode sans echec. Cette fois, IE a demarré normalement (??) et j'ai donc recupéré le rapport ci-dessous :
ComboFix 10-03-26.02 - jacques administrat 27/03/2010 9:32.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3036.2506 [GMT -4:00]
Lancé depuis: c:\users\jacques administrat\Desktop\asdehi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
[i] ADS - drivers: deleted 204 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\progra~1\GbPlugin\gbiehUni.dll
.
---- Exécution préalable -------
.
c:\$recycle.bin\S-1-5-21-2674780754-2634752916-325387951-500
c:\bancobrasil\officePLUGIN\index.html
c:\users\jacques administrat\AppData\Roaming\.#
c:\users\jacques administrat\AppData\Roaming\avsdrv
c:\users\jacques administrat\AppData\Roaming\preferred
c:\windows\eSellerateEngine.dll
c:\windows\Suyin.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-27 au 2010-03-27 ))))))))))))))))))))))))))))))))))))
.

2010-03-27 13:37 . 2010-03-27 13:37 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-26 21:48 . 2010-03-27 14:28 -------- d-----w- c:\users\jacques administrat\AppData\Local\temp
2010-03-26 21:42 . 2010-03-26 21:51 -------- d-----w- C:\asdehi
2010-03-26 18:19 . 2010-01-26 18:01 81920 ----a-w- c:\windows\eSellerateControl350.dll
2010-03-26 18:19 . 2010-03-26 18:36 -------- d-----w- c:\program files\Fake Alert Trojan Removal Tool[1]
2010-03-26 13:44 . 2010-03-26 13:44 -------- d-----w- C:\$AVG
2010-03-26 12:59 . 2010-03-26 12:59 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-26 12:59 . 2010-03-26 12:59 242696 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-03-26 12:59 . 2010-03-26 12:59 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-03-26 12:59 . 2010-03-26 12:59 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\windows\system32\drivers\Avg
2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\programdata\avg9
2010-03-26 12:59 . 2010-03-26 12:59 -------- d-----w- c:\program files\AVG
2010-03-25 22:53 . 2010-03-25 23:05 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\QuickScan
2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\Malwarebytes
2010-03-25 12:53 . 2010-01-07 20:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-25 12:53 . 2010-03-25 12:53 -------- d-----w- c:\programdata\Malwarebytes
2010-03-25 12:53 . 2010-01-07 20:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 11:49 . 2010-03-24 22:50 -------- d-----w- c:\programdata\Alwil Software
2010-03-22 20:48 . 2010-03-22 20:48 -------- d-----w- c:\program files\Innomatix
2010-03-12 10:43 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-12 10:43 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-03-12 10:43 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-27 14:28 . 2009-05-03 15:34 -------- d-----w- c:\program files\GbPlugin
2010-03-26 19:20 . 2009-05-21 19:40 1356 ----a-w- c:\users\jacques administrat\AppData\Local\d3d9caps.dat
2010-03-24 22:05 . 2009-06-19 21:32 -------- d-----w- c:\program files\Alwil Software
2010-03-24 20:58 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-24 20:58 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-24 20:45 . 2009-04-19 19:59 -------- d-----w- c:\users\jacques administrat\AppData\Roaming\Skype
2010-03-24 11:21 . 2009-05-03 15:34 -------- d-----w- c:\programdata\GbPlugin
2010-03-23 11:53 . 2009-04-18 20:17 81899 ----a-w- c:\programdata\nvModes.dat
2010-03-22 22:16 . 2009-01-15 22:21 -------- d-----w- c:\programdata\eSobi
2010-03-12 11:42 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-12 10:51 . 2009-01-15 21:32 -------- d-----w- c:\programdata\Microsoft Help
2010-02-25 10:48 . 2009-12-17 11:35 70672 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-02-24 14:16 . 2009-10-03 12:02 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-18 13:20 . 2009-10-16 23:56 30752 ----a-w- c:\windows\system32\drivers\GbpKm.sys
2010-02-08 10:57 . 2010-02-08 10:57 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb122B.tmp.exe
2010-01-25 12:00 . 2010-02-24 20:28 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-24 20:28 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-24 20:28 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-24 20:28 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-24 20:28 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-24 20:28 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-24 20:28 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-24 20:28 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-24 20:28 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-24 20:28 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-06 15:39 . 2010-02-24 20:26 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-01-06 15:38 . 2010-02-24 20:26 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-01-06 15:38 . 2010-02-24 20:26 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-01-06 15:38 . 2010-02-24 20:26 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-01-06 15:38 . 2010-02-24 20:26 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-01-06 15:38 . 2010-02-24 20:26 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2010-01-06 13:30 . 2010-02-24 20:26 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2010-01-02 06:38 . 2010-01-22 11:36 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-22 11:36 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-22 11:36 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-22 11:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-07-29 16:52 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-27 24103720]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"AbacastDistributedOnDemand:11"="c:\users\jacques administrat\AppData\Local\AbacastDistributedOnDemand\Node\11\AbacastDistributedOnDemand.exe" [2009-04-15 54712]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"RtHDVCpl"="RtHDVCpl.exe" [2008-09-18 6294048]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-23 30192]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-11-28 417792]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-09-11 544768]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-28 13601312]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-28 92704]
"PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-06-04 817672]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-10-08 147456]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-10-17 167936]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2009-03-18 173352]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]
"Skytel"="Skytel.exe" [2008-09-18 1833504]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2010-02-18 13:19 323360 ----a-w- c:\program files\GbPlugin\gbieh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL,avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):1a,72,d9,ab,58,6c,ca,01

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-26 216200]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-26 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-26 308064]
R2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-10-04 69632]
R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-11-28 24576]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe [2006-10-31 77824]
R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2010-02-18 54048]
R2 gupdate1c9c1295ae12f74;Service Google Update (gupdate1c9c1295ae12f74);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 133104]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
R3 A310;AVerMedia A310 DVB-T;c:\windows\system32\DRIVERS\AVerA310USB.sys [2008-07-03 26752]
R3 BDASwCap;AVerMedia A310 BDA DVBT Capture Device;c:\windows\system32\drivers\AVerA310Cap.sys [2008-07-03 47104]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe [2006-10-31 1990656]
R3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-11-23 30192]
R3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-05-05 3658752]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-12-28 45600]
R3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [2008-05-26 81704]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2010-02-18 30752]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-03-26 242696]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 19:59]

2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-19 19:59]

2010-03-24 c:\windows\Tasks\User_Feed_Synchronization-{373B1330-436A-48EF-9D30-28952EF5C8D4}.job
- c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]
.
.
------- Examen supplémentaire -------
.
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0309&m=aspire_6930zg
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
Trusted Zone: bancobrasil.com.br\www2
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-eRecoveryService - (no file)
HKLM-RunOnce-<NO NAME> - (no file)
ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399008} - c:\progra~1\GbPlugin\gbiehUni.dll
Notify- GbPluginUni - c:\progra~1\GbPlugin\gbiehUni.dll
AddRemove-Notification de cadeaux MSN - c:\users\jacques administrat\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-27 10:30
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(1752)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\conime.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Heure de fin: 2010-03-27 10:34:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-27 14:34

Avant-CF: 90 875 092 992 octets libres
Après-CF: 90 674 765 824 octets libres

- - End Of File - - 0F8D4E208A664A90790D8F88690CD1E7
0
Réponse 4 / 62
Utilisateur anonyme
27 mars 2010 à 16:49
Bonjour

1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici : : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

# Choisi l option 2 (Suppression)

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



2)Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

3)* Télécharge Ad-remover ( de C_XX ) sur ton bureau :

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours !

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option "Nettoyer" et sur [entrée] .

* Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche): http://pagesperso-orange.fr/NosTools/tuto_adr_2.html



poste les rapports au fur et à mesure;merci

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 62
Vinicius
27 mars 2010 à 16:59
suite.....Voilà le fichier zhp.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijnA4IOPg.txt

En attendant de tes nouvelles, merci d'avance.
0
Réponse 6 / 62
Utilisateur anonyme
27 mars 2010 à 17:17
Re

Fait ce qui est mentionné dans mon précèdent post ;merci

@+
0
Réponse 7 / 62
vinicius
27 mars 2010 à 22:51
Re,
1) USBFix s'est bien deroulé, a terminé, redemarré l'ordinateur sans rien demander et je n'ai vu ni ne trouve aucun rapport USBFix.txt ??

2) Ad-Remover s'est bien deroulé, a visiblement fait du ménage et emis ce rapport :
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 27/03/10 à 10:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:11:19 le 27/03/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
Nom du PC: PC-DE-JACQUES | Utilisateur actuel: jacques administrat (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Bandoo

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
.
(Orpheline) HKLM,Run - Windows Defender - %ProgramFiles%\Windows Defender\MSASCui.exe
(Orpheline) HKLM,Run - RtHDVCpl - RtHDVCpl.exe
(Orpheline) HKLM,Run - Skytel - Skytel.exe
Orpheline BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\JACQUE~1\AppData\Local\Temp: 0 Fichier(s), 3 Dossier(s)
C:\Users\jacques administrat\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 69 Dossier(s)
.
C:\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2458 Octet(s)
.
Fin à: 17:15:23, 27/03/2010
.
============== E.O.F - CLEAN[1] ==============

***************Remarques
Ad-Remover a demandé a redemarrer Windows, j'ai dit oui.
Il a redemarré en mode normal beaucoup plus loin avec accés à toutes les icones d'appli sur le bureau et puis le système s'est planté et redemarré. Comme je n'avais pas remis le controle utilisateur, je l'ai remis en mode sans echec puis relancé en mode normal, mais cette fois ça bloque sur le controle utilisateur, je ne peux pas cliquer sur l'icone administrateur ????
0
Réponse 8 / 62
Utilisateur anonyme
28 mars 2010 à 09:52
Bonjour

Le rapport UsbFix est là normalement:C:\UsbFix.txt

Ton PC démarre t'il normalement?
Tu veux installer Avast 5 et tu disposes déjà de AVG9.

@+



0
Réponse 9 / 62
vinicius
28 mars 2010 à 14:56
Salut,
Tes remarques me surprennent, je croyais avoir expliqué clairement le pb .
Je ne tiens pas spécialement á installer Avast 5.0. Jusqu'ici j'avais la 4.8 qui fonctionnait sans probléme.
Je reviens au probléme de base :
Ma licence étant expiré, Avast m'a proposé d'installer la derniére version 5.0, ce que j'ai fait. C'est alors que les emm... ont commencé, c'est á dire bloquage du lancement de Windows sur les icones utilisateur ou sur le message Bienvenue.
Depuis, mon PC fonctionne uniquement en mode sans echec
J'ai eu le tort de desinstaller complétement Avast en mode sans echec et voulu réinstaller la 4.8, impossible en mode sans echec .

Pour n pas rester sans antivirus, j'ai donc cherché un antivirus installable en mode sans echec et j'ai trouvé AVG que j'ai installé sans probleme, lancé un scan qui n'a rien trouvé. Je peux t'envoyer le rapport si ça peut aider.
J'ai trouvé MalwareBytes qui m'a signalé les virus Trojan Fake alert et Malware.Trace et les a mis en quarantaine.

Revoir mon tout 1er message pour le reste et tout ce que j'ai essayé ensuite uniquement sur tes conseils.
J'en suis toujours au meme stade :
1) En mode normal, Windows ne démarre pas au delá des icones utilisateurs ou du message bienvenue
2) En mode sans echec, je peux pratiquement tout faire sauf les fonctions supprimées dans ce mode (Audio par exemple).
3) Le rapport USBFix n'est pas dans mon PC, je peux te le garantir.
Tous ces logiciels de réparation demandent á redemarrer le PC pour completer. Au redémarrage c'est en mode normal si je ne fais pas gaffe (F8) et donc plantage. Je vais essayer de repasser USBFix et suivre de prés le redémarrage.
@+.
0
Réponse 10 / 62
vinicius
28 mars 2010 à 15:12
le rapport AVG :
http://www.cijoint.fr/cjlink.php?file=cj201003/cijTAYSOll.txt
0
Réponse 11 / 62
Utilisateur anonyme
Modifié par Guillaume5188 le 28/03/2010 à 15:29
Re

C'est toi qui à crypté tous ces fichiers?

Je croyais voir un UsbFix.

@+
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
0
Réponse 12 / 62
vinicius
28 mars 2010 à 15:41
1) J'ai donc repassé USBFix, uniquement le rapport (option 1) . Voir ci-dessous.
Au redémarrage, visiblement il ne peut pas se relancer en mode sans echec.

2) Effectivement, je me suis posé la meme question. Pourquoi tous ces fichiers sont-ils verouillés ??
Ce PC fonctionne depuis 1 an sans ré-installation avec tout ça pré-chargé ACER.
Je n'ai d'ailleurs pas de DVD de ré-installation et ma sauvegarde ACER n'est pas accesible en mode sans echec !!
============le rapport USBFix :

User : jacques administrat (Administrateurs) # PC-DE-JACQUES
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:31:33 | 28/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 143,04 Go (84,27 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 139,5 Go (122,13 Go free) [DATA] # NTFS
E:\ -> Disque amovible # 3,84 Go (128,29 Mo free) [UDISK 2.0] # FAT32
F:\ -> Disque CD-ROM

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.100 ! |
0
Réponse 13 / 62
Utilisateur anonyme
28 mars 2010 à 15:49
Re

Passe cet utilitaire pour supprimer complètement Avast.

Utilitaire de désinstallation d'Avast! : aswClear.exe

https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3Flanguageid%3D4%26group%3Dfre%26_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D452


Tiens moi au courant

@+
0
Réponse 14 / 62
vinicius
28 mars 2010 à 16:46
Aprés passage de AswClear, il me dit que Avast 5 a bien été supprimé et au redémarrage va un peu plus loin que les icones user. Il affiche toutes les icones des applis du bureau et continue de tourner puis affiche sur ecran noir un long message disant qu'íl y a un probleme et qu'íl va redemarrer, mais il ne laisse pas le temps de lire tout le msg et redémarre en se bloquant de nouveau sur les icones user ???
Sais-tu comment l'arreter pour pouvoir lire le msg ?
0
Réponse 15 / 62
Utilisateur anonyme
28 mars 2010 à 16:49
Re

Désinstalle également AVG.
et passe cet utilitaire.
Utilitaire de désinstallation d'AVG avgremover.exe
http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

Tiens moi au courant.
@+
0
Réponse 16 / 62
vinicius
28 mars 2010 à 18:19
Compte tenu de tout ça, j'ai carrément restauré une version de Windows á un point de restauration de plusieurs jours 21/03 et je me retrouve sans AVG mais avec avast 4.8 qui ne démarre plus, j'ai refait un AwsClear. Resultat : meme punition, meme motif ?
0
Réponse 17 / 62
Utilisateur anonyme
28 mars 2010 à 18:29
re

Si tu veux te débrouiller tout seul ,fait le moi savoir...
On ne va pas reprendre tout depuis le début.
Donc;reviens à aujourd'hui avec la restauration.
Ou alors ma contribution s'arrêtera là.
Tiens moi au courant;merci
@+
0
Réponse 18 / 62
vinicius
28 mars 2010 à 18:55
OK, OK, excuses c'etait une idée (mauvaise ?)
J'ai reinstallé le dernier point de restauration mais ça remonte á avant la panne puisque tout ce qui a été fait ensuite était en mode sans echec (pas de checkpoint)>
Desolé, mauvaise initiative.
Pour l'instant, je vais aller déjeuner , je ne suis pas en France, nous avons 5 heures de décalage horaire 13h 54 pour moi.
0
Réponse 19 / 62
vinicius
28 mars 2010 à 22:37
Re,
Si tu es toujours d'accord pour m'aider, je peux á partir de la version restaurée avant le bug, repasser tous les outils. C'est l'affaire de qq heures...
On en reviendra au meme point.
Dis moi si ça vaut le coup.
0
Réponse 20 / 62
vinicius
29 mars 2010 à 15:04
Salut,
C'est la loi de de l'emm... maximum.
J'ai passé ZHPDiag qui m'affiche le rapport mais ne le sauve pas en .txt (?)
J'ai essayé de te l'envoyer en copié collé, le forum bloque (impossible de valider l'envoi ). Il doit etre trop gros.??
0

Discussions similaires

Menace et chantage sexué
Pioupiou -
fabul -

1 réponse
"J'ai hérité de 4 millions de dollars" : c'est une arnaque ?
didi -
Alexa190495 -

155 réponses
le frigo ne marche pas....
Nemo6456 -
Templier Nocturne -

1 réponse
Formaté mais pas de connexion Internet ?
VissErale -
VissErale -

4 réponses
[Arnaque] Taxe transfert Côte d'Ivoire
FRAUDE -
FRAUDE -

72 réponses