Ouverture intempestive de explorer et PC lent
Fermé
cristal
-
22 avril 2010 à 09:42
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 26 avril 2010 à 18:26
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 26 avril 2010 à 18:26
A voir également:
- Ouverture intempestive de explorer et PC lent
- Pc lent - Guide
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Explorer patcher - Télécharger - Personnalisation
- Mon pc est trop lent et se bloque - Guide
9 réponses
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
22 avril 2010 à 10:47
22 avril 2010 à 10:47
Bonjour,
Je vais te guider pour vérifier cela,
Pour commencer :
◊◊TéléchargeDDS de sUBs DDS de sUBs sur ton Bureau.
L'outil ne nécessite pas d'installation.
♦ Lance-le en cliquant sur l'icône dds.scr
♦ Le scan ne doit pas dépasser trois minutes.
♦ Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
♦ Il te sera demandé si tu veux faire le scan optionnel.
♦ Accepte par Oui
♦ Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
♦ Tu ne le fourniras que si nécessaire.
♦ Poste le rapport DDS.txt
Ensuite
◊◊ Télécharge Hijackthis (de Trend Micro) sur ton Bureau.
♦ Double clique sur HJTInstall.exe pour lancer l'installation.
♦ Clique sur Install.
♦ Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
♦ Accepte la licence en cliquant sur Yes.
♦ Clique sur Do a system scan and save a logfile.
♦ Poste ici le rapport généré.
Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
Je vais te guider pour vérifier cela,
Pour commencer :
◊◊TéléchargeDDS de sUBs DDS de sUBs sur ton Bureau.
L'outil ne nécessite pas d'installation.
♦ Lance-le en cliquant sur l'icône dds.scr
♦ Le scan ne doit pas dépasser trois minutes.
♦ Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
♦ Il te sera demandé si tu veux faire le scan optionnel.
♦ Accepte par Oui
♦ Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
♦ Tu ne le fourniras que si nécessaire.
♦ Poste le rapport DDS.txt
Ensuite
◊◊ Télécharge Hijackthis (de Trend Micro) sur ton Bureau.
♦ Double clique sur HJTInstall.exe pour lancer l'installation.
♦ Clique sur Install.
♦ Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
♦ Accepte la licence en cliquant sur Yes.
♦ Clique sur Do a system scan and save a logfile.
♦ Poste ici le rapport généré.
Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
22 avril 2010 à 21:39
22 avril 2010 à 21:39
Oui plutôt gênant ce problème.
J'ai trouvé certain malwares sur ton PC on va donc commencer par ce nettoyage.
◊◊◊Télécharge OTM (de Old_Timer) sur ton Bureau,◊◊◊
♦ Double-clique sur OTM.exe pour lancer le programme,
♦ Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
♦ Clique sur MoveIt! pour lancer la suppression,
♦ Le résultat apparaîtra dans le cadre Results.
♦ Clique sur Exit pour fermer le programme.
♦ Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
♦ Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
Ensuite
◊◊◊ Télécharge Ccleaner ◊◊◊
♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69
◊◊◊ Télécharge Malwarebytes ◊◊◊
Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68
♦ Installe le
♦ Lance malwarebytes
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
J'ai trouvé certain malwares sur ton PC on va donc commencer par ce nettoyage.
◊◊◊Télécharge OTM (de Old_Timer) sur ton Bureau,◊◊◊
♦ Double-clique sur OTM.exe pour lancer le programme,
♦ Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
:Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"=- :files C:\Users\FLORET\AppData\Local\Temp\Fnz.exe c:\windows\Fgalab.exe c:\windows\Fgalaa.exe c:\windows\system32\~.tmp :Commands [emptytemp] [Reboot]
♦ Clique sur MoveIt! pour lancer la suppression,
♦ Le résultat apparaîtra dans le cadre Results.
♦ Clique sur Exit pour fermer le programme.
♦ Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
♦ Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
Ensuite
◊◊◊ Télécharge Ccleaner ◊◊◊
♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69
◊◊◊ Télécharge Malwarebytes ◊◊◊
Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68
♦ Installe le
♦ Lance malwarebytes
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
J'ai redémarré en mode normal.
Voici le lien pour le rapport OTM: https://www.cjoint.com/?exbptSOMw1
Tout s'est bien passé lors de l'excution de Ccleaner.
Malwarebytes a détecté plusieurs infection, voici le lien pour le rapport:
https://www.cjoint.com/?exbq2651k3
Merci beaucoup pour l'aider apporté, je n'y arriverai pas seul.
Cristal
Voici le lien pour le rapport OTM: https://www.cjoint.com/?exbptSOMw1
Tout s'est bien passé lors de l'excution de Ccleaner.
Malwarebytes a détecté plusieurs infection, voici le lien pour le rapport:
https://www.cjoint.com/?exbq2651k3
Merci beaucoup pour l'aider apporté, je n'y arriverai pas seul.
Cristal
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
23 avril 2010 à 13:41
23 avril 2010 à 13:41
Bonjour,
Ton Pc tourne t'il mieux ?
Nous allons faire eu contrôle supplémentaire :
◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊
♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :
♦Clique sur le bouton Run Scan. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.
Ton Pc tourne t'il mieux ?
Nous allons faire eu contrôle supplémentaire :
◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊
♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :
netsvcs
%SYSTEMDRIVE%\*.exe
msconfig
safebootminimal
safebootnetwork
activex
/md5start
explorer.exe
wininet.dll
mshtml.dll
wuauclt.exe
atapi.sys
/md5stop
%systemroot%\*. /mp /s
♦Clique sur le bouton Run Scan. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.
Oui mon PC tourne beaucoup mieux, en fait je ne note aucune perturbation ou anomalie.
Les rapport scan étaient trop gros pour que je les poste, ça chargeait pas, donc je les ai mis en fichier cjoint.
Pour le fichier OTL : https://www.cjoint.com/?exoZsnNouV
Pour le fichier Extras: https://www.cjoint.com/?exo011jEiU
Et aussi, sous Malwarebytes, tous les malwares détectés sont sous l'onglet 'quarantaine', est-ce qu'il faut que je les supprime ou je peux les laisser comme ça ?
Merci beaucoup !!
cristal
Les rapport scan étaient trop gros pour que je les poste, ça chargeait pas, donc je les ai mis en fichier cjoint.
Pour le fichier OTL : https://www.cjoint.com/?exoZsnNouV
Pour le fichier Extras: https://www.cjoint.com/?exo011jEiU
Et aussi, sous Malwarebytes, tous les malwares détectés sont sous l'onglet 'quarantaine', est-ce qu'il faut que je les supprime ou je peux les laisser comme ça ?
Merci beaucoup !!
cristal
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
23 avril 2010 à 20:58
23 avril 2010 à 20:58
Bonsoir,
très bien encore quelques petites choses à nettoyer.
◊◊◊ Télécharge USBFIX sur ton bureau ◊◊◊
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
♦ Double clic sur le raccourci UsbFix présent sur ton Bureau .
♦ Choisis l'option 1 (Recherche)
♦ Laisse travailler l'outil.
♦ Ensuite post le rapport UsbFix.txt qui apparaîtra.
♦ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
♦ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
♦ Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
très bien encore quelques petites choses à nettoyer.
◊◊◊ Télécharge USBFIX sur ton bureau ◊◊◊
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
♦ Double clic sur le raccourci UsbFix présent sur ton Bureau .
♦ Choisis l'option 1 (Recherche)
♦ Laisse travailler l'outil.
♦ Ensuite post le rapport UsbFix.txt qui apparaîtra.
♦ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
♦ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
♦ Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
Merci encore pour l'aide en ligne.
J'ai fais le nettoyage avec UsbFix; voici le rapport:
############################## | UsbFix V6.108 |
User : FLORET (Administrateurs) # MARION
Update on 23/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:56:58 | 24/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | (!) Outdated ]
C:\ -> Disque fixe local # 226,51 Go (21,57 Go free) # NTFS
D:\ -> Disque fixe local # 6,37 Go (1,21 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM # 650,17 Mo (0 Mo free) [Sims2_1] # CDFS
G:\ -> Disque amovible # 7,47 Go (5,51 Go free) [PONOULPS] # FAT32
H:\ -> Disque fixe local # 232,83 Go (9,04 Go free) [My Passport] # FAT32
################## | Elements infectieux |
C:\Users\FLORET\EZfaceActiveX208.exe
F:\autorun.inf
F:\autorun.exe
################## | Registre |
[HKCU\SOFTWARE\QZAIB7KITK]
[HKCU\SOFTWARE\YVIBBBHA8C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{22c44d1c-39b7-11df-9ebb-001b249b6ddc}
shell\AutoRun\command =s1.exe
shell\open\Command =s1.exe
HKCU\..\..\Explorer\MountPoints2\{9f480206-f880-11de-a0d4-001b249b6ddc}
shell\AutoRun\command =G:\installer.exe
################## | Vaccin |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | ! Fin du rapport # UsbFix V6.108 ! |
J'ai fais le nettoyage avec UsbFix; voici le rapport:
############################## | UsbFix V6.108 |
User : FLORET (Administrateurs) # MARION
Update on 23/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:56:58 | 24/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | (!) Outdated ]
C:\ -> Disque fixe local # 226,51 Go (21,57 Go free) # NTFS
D:\ -> Disque fixe local # 6,37 Go (1,21 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM # 650,17 Mo (0 Mo free) [Sims2_1] # CDFS
G:\ -> Disque amovible # 7,47 Go (5,51 Go free) [PONOULPS] # FAT32
H:\ -> Disque fixe local # 232,83 Go (9,04 Go free) [My Passport] # FAT32
################## | Elements infectieux |
C:\Users\FLORET\EZfaceActiveX208.exe
F:\autorun.inf
F:\autorun.exe
################## | Registre |
[HKCU\SOFTWARE\QZAIB7KITK]
[HKCU\SOFTWARE\YVIBBBHA8C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{22c44d1c-39b7-11df-9ebb-001b249b6ddc}
shell\AutoRun\command =s1.exe
shell\open\Command =s1.exe
HKCU\..\..\Explorer\MountPoints2\{9f480206-f880-11de-a0d4-001b249b6ddc}
shell\AutoRun\command =G:\installer.exe
################## | Vaccin |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | ! Fin du rapport # UsbFix V6.108 ! |
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
24 avril 2010 à 15:07
24 avril 2010 à 15:07
Bonjour,
ok pour USBFix relance l'outil et choisis l'option de nettoyage,
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) .
Ensuite on pousse la recherche un peu plus
◊◊◊Télécharge Rootrepeal,◊◊◊
♦ Dézippe-le sur le Bureau (Fais un clic droit sur l'archive et choisis extraire vers> Bureau),
♦ Double-clique sur Rootrepeal.exe (sous Vista, il faut faire un clic droit sur le fichier, et Excécuter en tant qu'administrateur),
♦ Clique sur l'onglet File et choisis Scan. L'analyse peut durer quelques minutes,
♦ Clique sur "Save report". Enregistre le rapport sur le Bureau en lui donnant le nom Rootrepeal.txt,
♦ Ouvre ce rapport, fais CTRL+A pour tout sélectionner, CTRL+C pour copier son contenu, CTRL+V pour coller ce rapport dans ta prochaine réponse,
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
Page : https://sites.google.com/site/rootrepeal/
ok pour USBFix relance l'outil et choisis l'option de nettoyage,
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) .
Ensuite on pousse la recherche un peu plus
◊◊◊Télécharge Rootrepeal,◊◊◊
♦ Dézippe-le sur le Bureau (Fais un clic droit sur l'archive et choisis extraire vers> Bureau),
♦ Double-clique sur Rootrepeal.exe (sous Vista, il faut faire un clic droit sur le fichier, et Excécuter en tant qu'administrateur),
♦ Clique sur l'onglet File et choisis Scan. L'analyse peut durer quelques minutes,
♦ Clique sur "Save report". Enregistre le rapport sur le Bureau en lui donnant le nom Rootrepeal.txt,
♦ Ouvre ce rapport, fais CTRL+A pour tout sélectionner, CTRL+C pour copier son contenu, CTRL+V pour coller ce rapport dans ta prochaine réponse,
Utiliser https://www.cjoint.com/ pour poster les rapports.
Merci
Page : https://sites.google.com/site/rootrepeal/
Il y a un problème avec rootrepeal. J'obtiens un message d'erreur à l'ouverture:
14:31:44: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000d8)
14:31:44: DeviceIoControl Error! Error Code = 0x1e7
14:31:44: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000d8)
Et si je lance le scan j'ai un autre message 'cannot initialize driver et :
14:29:55: Could not scan drive C (error 0xc0000024)
14:30:02: Could not scan drive D (error 0xc0000024)
14:31:44: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000d8)
14:31:44: DeviceIoControl Error! Error Code = 0x1e7
14:31:44: FOPS - DeviceIoControl Error! Error Code = 0xc0000024 Extended Info (0x000000d8)
Et si je lance le scan j'ai un autre message 'cannot initialize driver et :
14:29:55: Could not scan drive C (error 0xc0000024)
14:30:02: Could not scan drive D (error 0xc0000024)
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
24 avril 2010 à 21:02
24 avril 2010 à 21:02
ok essaye avec Gmer
◊◊◊ Télécharge http://www2.gmer.net/gmer.zip ◊◊◊ sur ton Bureau.
♦ Tu noteras que le nom est aléatoire.
Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
♦ Ferme les fenêtres de navigateur ouverte
♦ Déconnecte toi d'Internet puis ferme tous les programmes.
♦ Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
♦ Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
♦ IAT/EAT
♦ Assure-toi que "Show All" est décoché**
♦ Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
♦ Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
♦ Nomme le fichier"root" et sauvegarde-le sur le Bureau ;
♦ Copie/colle le contenu de ce rapport dans ta réponse.
PS: Si les rapports ne rentrent pas dans le message, tu peux les mettre en pièce jointe.
◊◊◊ Télécharge http://www2.gmer.net/gmer.zip ◊◊◊ sur ton Bureau.
♦ Tu noteras que le nom est aléatoire.
Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
♦ Ferme les fenêtres de navigateur ouverte
♦ Déconnecte toi d'Internet puis ferme tous les programmes.
♦ Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
♦ Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
♦ IAT/EAT
♦ Assure-toi que "Show All" est décoché**
♦ Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
♦ Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
♦ Nomme le fichier"root" et sauvegarde-le sur le Bureau ;
♦ Copie/colle le contenu de ce rapport dans ta réponse.
PS: Si les rapports ne rentrent pas dans le message, tu peux les mettre en pièce jointe.
Gmer a marché. Voici le rapport:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-24 20:59:56
Windows 6.0.6000
Running: gmer.exe; Driver: C:\Users\FLORET\AppData\Local\Temp\uxrdypod.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8C2BE340, 0x3FA057, 0xE8000020]
---- EOF - GMER 1.0.15 ----
merci !
cristal
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-24 20:59:56
Windows 6.0.6000
Running: gmer.exe; Driver: C:\Users\FLORET\AppData\Local\Temp\uxrdypod.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8C2BE340, 0x3FA057, 0xE8000020]
---- EOF - GMER 1.0.15 ----
merci !
cristal
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
24 avril 2010 à 23:17
24 avril 2010 à 23:17
Bonsoir,
Pas de trace de Rootkit, le driver trouvé est légitimes :)
As tu toujours ces soucis de redirection ?
Si c'est le cas pour cela fait ce qui suit stp :
◊ ◊ ◊Télécharge Runscanner sur ton Bureau. ◊ ◊ ◊
♦ Extrais son contenu sur ton Bureau(Clic droit sur le fichier .zip >> "Extraire tout...")
♦ Clique droit sur Runscanner et "Exécuter en tant qu'administrateur"
♦ Laisse coché Expert Mode et clique sur OK
♦ Clique sur ExtraStuff puis sur Host file editor
♦ Clique sur Reset to default et confirme par Yes
♦ Ferme Runscanner.
♦ Redémarre ton PC est dit moi si tu as toujours ces soucis de redirection.
Pas de trace de Rootkit, le driver trouvé est légitimes :)
As tu toujours ces soucis de redirection ?
Si c'est le cas pour cela fait ce qui suit stp :
◊ ◊ ◊Télécharge Runscanner sur ton Bureau. ◊ ◊ ◊
♦ Extrais son contenu sur ton Bureau(Clic droit sur le fichier .zip >> "Extraire tout...")
♦ Clique droit sur Runscanner et "Exécuter en tant qu'administrateur"
♦ Laisse coché Expert Mode et clique sur OK
♦ Clique sur ExtraStuff puis sur Host file editor
♦ Clique sur Reset to default et confirme par Yes
♦ Ferme Runscanner.
♦ Redémarre ton PC est dit moi si tu as toujours ces soucis de redirection.
J'ai fais ce qui était écrit pour Runscanner mais j'ai toujours ce problème de redirection lors d'une recherche sur google.
Ce n'est pas systématique (1 fois sur 2 ou à chaque fois). Avant que la page de pub ne s'affiche, j'ai parfois ce type de page :
https://www.cjoint.com/?ezmwNLYojA
J'ai aussi testé avec d'autres moteurs de recherche que j'ai. Meme problème avec Yahoo (et un autre appelé Bing) par contre pas de problème avec doneo, qui il me semble utilise les résultats fournis par Yahoo.
Je ne vois pas quoi ajouter comme détails.
Merci !
cristal
Ce n'est pas systématique (1 fois sur 2 ou à chaque fois). Avant que la page de pub ne s'affiche, j'ai parfois ce type de page :
https://www.cjoint.com/?ezmwNLYojA
J'ai aussi testé avec d'autres moteurs de recherche que j'ai. Meme problème avec Yahoo (et un autre appelé Bing) par contre pas de problème avec doneo, qui il me semble utilise les résultats fournis par Yahoo.
Je ne vois pas quoi ajouter comme détails.
Merci !
cristal
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
25 avril 2010 à 13:10
25 avril 2010 à 13:10
Pour vérification fait ce qui suit stp :
◊◊◊ Télécharger TDSSkiller de Kaspersky sur le Bureau,
◊◊◊
♦ Dézipper l'archive sur le Bureau (Clic droit>Extraire ici),
♦ Un dossier TDSSkiller doit être créé sur le Bureau. Il doit contenir le fichier TDSSKiller.exe. Si ça n'est pas le cas, créer le dossier et y placer le fichier.
♦ Cliquer sur Démarrer>Exécuter puis copie/colle exactement ceci : "%userprofile%\bureau\tdsskiller\TDSSKiller.exe" -l report.txt -v
♦ Valider avec la touche entrée.
♦ Une fenêtre noire se refermera lorsque l'outil aura terminé son analyse. Il n'y a normalement pas de redémarrage.
♦ Le rapport report.txt généré par l'outil est enregistré dans le dossier TDSSKiller., post ce rapport.
--
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
◊◊◊ Télécharger TDSSkiller de Kaspersky sur le Bureau,
◊◊◊
♦ Dézipper l'archive sur le Bureau (Clic droit>Extraire ici),
♦ Un dossier TDSSkiller doit être créé sur le Bureau. Il doit contenir le fichier TDSSKiller.exe. Si ça n'est pas le cas, créer le dossier et y placer le fichier.
♦ Cliquer sur Démarrer>Exécuter puis copie/colle exactement ceci : "%userprofile%\bureau\tdsskiller\TDSSKiller.exe" -l report.txt -v
♦ Valider avec la touche entrée.
♦ Une fenêtre noire se refermera lorsque l'outil aura terminé son analyse. Il n'y a normalement pas de redémarrage.
♦ Le rapport report.txt généré par l'outil est enregistré dans le dossier TDSSKiller., post ce rapport.
--
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
Je suis dsl, la commande n'accédait pas au fichier et je l'ai lancé une 1ère fois sans qu'il fournisse le rapport. Mais dans la partie "results" il y avait bien un objet infecté qui a été "soigné" (il y avait un 1 inscrit dans la partie suivante : Results:
13:20:48:115 5252 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 File objects infected / cured / cured on reboot: 0 / 0 / 0
)
J'ai relancé exécuter avec le bon lien pour avoir le rapport mais évidemment il n'y a plus rien d'infecté:
13:20:47:452 5252 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
13:20:47:452 5252 ================================================================================
13:20:47:452 5252 SystemInfo:
13:20:47:452 5252 OS Version: 6.0.6000 ServicePack: 0.0
13:20:47:452 5252 Product type: Workstation
13:20:47:452 5252 ComputerName: MARION
13:20:47:452 5252 UserName: FLORET
13:20:47:452 5252 Windows directory: C:\Windows
13:20:47:452 5252 Processor architecture: Intel x86
13:20:47:453 5252 Number of processors: 2
13:20:47:453 5252 Page size: 0x1000
13:20:47:455 5252 Boot type: Normal boot
13:20:47:455 5252 ================================================================================
13:20:47:458 5252 UnloadDriverW: NtUnloadDriver error 2
13:20:47:458 5252 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
13:20:47:478 5252 wfopen_ex: Trying to open file C:\Windows\system32\config\system
13:20:47:478 5252 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:20:47:478 5252 wfopen_ex: Trying to KLMD file open
13:20:47:478 5252 wfopen_ex: File opened ok (Flags 2)
13:20:47:495 5252 wfopen_ex: Trying to open file C:\Windows\system32\config\software
13:20:47:495 5252 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:20:47:495 5252 wfopen_ex: Trying to KLMD file open
13:20:47:495 5252 wfopen_ex: File opened ok (Flags 2)
13:20:47:495 5252 Initialize success
13:20:47:495 5252
13:20:47:496 5252 Scanning Services ...
13:20:48:077 5252 Raw services enum returned 434 services
13:20:48:088 5252
13:20:48:089 5252 Scanning Kernel memory ...
13:20:48:089 5252 Devices to scan: 1
13:20:48:089 5252
13:20:48:089 5252 Driver Name: iaStor
13:20:48:089 5252 IRP_MJ_CREATE : 806EF576
13:20:48:089 5252 IRP_MJ_CREATE_NAMED_PIPE : 8241D1D9
13:20:48:089 5252 IRP_MJ_CLOSE : 806EF576
13:20:48:089 5252 IRP_MJ_READ : 8241D1D9
13:20:48:089 5252 IRP_MJ_WRITE : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_EA : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_EA : 8241D1D9
13:20:48:089 5252 IRP_MJ_FLUSH_BUFFERS : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_VOLUME_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_VOLUME_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_DIRECTORY_CONTROL : 8241D1D9
13:20:48:089 5252 IRP_MJ_FILE_SYSTEM_CONTROL : 8241D1D9
13:20:48:089 5252 IRP_MJ_DEVICE_CONTROL : 806F3958
13:20:48:089 5252 IRP_MJ_INTERNAL_DEVICE_CONTROL : 806F3C1A
13:20:48:089 5252 IRP_MJ_SHUTDOWN : 8241D1D9
13:20:48:090 5252 IRP_MJ_LOCK_CONTROL : 8241D1D9
13:20:48:090 5252 IRP_MJ_CLEANUP : 8241D1D9
13:20:48:090 5252 IRP_MJ_CREATE_MAILSLOT : 8241D1D9
13:20:48:090 5252 IRP_MJ_QUERY_SECURITY : 8241D1D9
13:20:48:090 5252 IRP_MJ_SET_SECURITY : 8241D1D9
13:20:48:090 5252 IRP_MJ_POWER : 806F8C10
13:20:48:090 5252 IRP_MJ_SYSTEM_CONTROL : 806F8D70
13:20:48:090 5252 IRP_MJ_DEVICE_CHANGE : 8241D1D9
13:20:48:090 5252 IRP_MJ_QUERY_QUOTA : 8241D1D9
13:20:48:090 5252 IRP_MJ_SET_QUOTA : 8241D1D9
13:20:48:114 5252 C:\Windows\system32\drivers\iaStor.sys - Verdict: 1
13:20:48:114 5252
13:20:48:114 5252 Completed
13:20:48:114 5252
13:20:48:115 5252 Results:
13:20:48:115 5252 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 File objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:116 5252
13:20:48:116 5252 fclose_ex: Trying to close file C:\Windows\system32\config\system
13:20:48:116 5252 fclose_ex: Trying to close file C:\Windows\system32\config\software
13:20:48:623 5252 KLMD(ARK) unloaded successfully
cristal
13:20:48:115 5252 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 File objects infected / cured / cured on reboot: 0 / 0 / 0
)
J'ai relancé exécuter avec le bon lien pour avoir le rapport mais évidemment il n'y a plus rien d'infecté:
13:20:47:452 5252 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
13:20:47:452 5252 ================================================================================
13:20:47:452 5252 SystemInfo:
13:20:47:452 5252 OS Version: 6.0.6000 ServicePack: 0.0
13:20:47:452 5252 Product type: Workstation
13:20:47:452 5252 ComputerName: MARION
13:20:47:452 5252 UserName: FLORET
13:20:47:452 5252 Windows directory: C:\Windows
13:20:47:452 5252 Processor architecture: Intel x86
13:20:47:453 5252 Number of processors: 2
13:20:47:453 5252 Page size: 0x1000
13:20:47:455 5252 Boot type: Normal boot
13:20:47:455 5252 ================================================================================
13:20:47:458 5252 UnloadDriverW: NtUnloadDriver error 2
13:20:47:458 5252 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
13:20:47:478 5252 wfopen_ex: Trying to open file C:\Windows\system32\config\system
13:20:47:478 5252 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:20:47:478 5252 wfopen_ex: Trying to KLMD file open
13:20:47:478 5252 wfopen_ex: File opened ok (Flags 2)
13:20:47:495 5252 wfopen_ex: Trying to open file C:\Windows\system32\config\software
13:20:47:495 5252 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:20:47:495 5252 wfopen_ex: Trying to KLMD file open
13:20:47:495 5252 wfopen_ex: File opened ok (Flags 2)
13:20:47:495 5252 Initialize success
13:20:47:495 5252
13:20:47:496 5252 Scanning Services ...
13:20:48:077 5252 Raw services enum returned 434 services
13:20:48:088 5252
13:20:48:089 5252 Scanning Kernel memory ...
13:20:48:089 5252 Devices to scan: 1
13:20:48:089 5252
13:20:48:089 5252 Driver Name: iaStor
13:20:48:089 5252 IRP_MJ_CREATE : 806EF576
13:20:48:089 5252 IRP_MJ_CREATE_NAMED_PIPE : 8241D1D9
13:20:48:089 5252 IRP_MJ_CLOSE : 806EF576
13:20:48:089 5252 IRP_MJ_READ : 8241D1D9
13:20:48:089 5252 IRP_MJ_WRITE : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_EA : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_EA : 8241D1D9
13:20:48:089 5252 IRP_MJ_FLUSH_BUFFERS : 8241D1D9
13:20:48:089 5252 IRP_MJ_QUERY_VOLUME_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_SET_VOLUME_INFORMATION : 8241D1D9
13:20:48:089 5252 IRP_MJ_DIRECTORY_CONTROL : 8241D1D9
13:20:48:089 5252 IRP_MJ_FILE_SYSTEM_CONTROL : 8241D1D9
13:20:48:089 5252 IRP_MJ_DEVICE_CONTROL : 806F3958
13:20:48:089 5252 IRP_MJ_INTERNAL_DEVICE_CONTROL : 806F3C1A
13:20:48:089 5252 IRP_MJ_SHUTDOWN : 8241D1D9
13:20:48:090 5252 IRP_MJ_LOCK_CONTROL : 8241D1D9
13:20:48:090 5252 IRP_MJ_CLEANUP : 8241D1D9
13:20:48:090 5252 IRP_MJ_CREATE_MAILSLOT : 8241D1D9
13:20:48:090 5252 IRP_MJ_QUERY_SECURITY : 8241D1D9
13:20:48:090 5252 IRP_MJ_SET_SECURITY : 8241D1D9
13:20:48:090 5252 IRP_MJ_POWER : 806F8C10
13:20:48:090 5252 IRP_MJ_SYSTEM_CONTROL : 806F8D70
13:20:48:090 5252 IRP_MJ_DEVICE_CHANGE : 8241D1D9
13:20:48:090 5252 IRP_MJ_QUERY_QUOTA : 8241D1D9
13:20:48:090 5252 IRP_MJ_SET_QUOTA : 8241D1D9
13:20:48:114 5252 C:\Windows\system32\drivers\iaStor.sys - Verdict: 1
13:20:48:114 5252
13:20:48:114 5252 Completed
13:20:48:114 5252
13:20:48:115 5252 Results:
13:20:48:115 5252 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:115 5252 File objects infected / cured / cured on reboot: 0 / 0 / 0
13:20:48:116 5252
13:20:48:116 5252 fclose_ex: Trying to close file C:\Windows\system32\config\system
13:20:48:116 5252 fclose_ex: Trying to close file C:\Windows\system32\config\software
13:20:48:623 5252 KLMD(ARK) unloaded successfully
cristal
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
26 avril 2010 à 18:26
26 avril 2010 à 18:26
Bonjour,
Pour vérification peut tu faire ce qui suit stp.
◊◊◊ Fait un scan en ligne avec Kaspersky ◊◊◊
♦ Une fois la fenêtre du scanner en ligne ouverte :
♦ Prendre connaissance de ce qui est indiqué dans la partie "information" et clique sur "j'accepte".
(Si tu es sur IE, on va te demander de télécharger un contrôle Active X, accepte)
♦ Le "téléchargement et la mise à jour du programme" se lance .
♦ Ensuite la "mise à jour de la base de données" se fait, patiente jusqu'à ce que se soit fini ( ceci peut-être relativement long ).
♦ Une fois fini, le scanner est prêt.
♦ Dans l'onglet "Analyser" clique sur Poste de travail afin de faire une analyse complète du système
Une fois le scan terminé, le résultat s'affiche.
♦ Clique sur "enregistrer rapport" pour faire une sauvegarde de ce dernier et post-le.
Poste le rapport de Kaspersky.
Pour vérification peut tu faire ce qui suit stp.
◊◊◊ Fait un scan en ligne avec Kaspersky ◊◊◊
♦ Une fois la fenêtre du scanner en ligne ouverte :
♦ Prendre connaissance de ce qui est indiqué dans la partie "information" et clique sur "j'accepte".
(Si tu es sur IE, on va te demander de télécharger un contrôle Active X, accepte)
♦ Le "téléchargement et la mise à jour du programme" se lance .
♦ Ensuite la "mise à jour de la base de données" se fait, patiente jusqu'à ce que se soit fini ( ceci peut-être relativement long ).
♦ Une fois fini, le scanner est prêt.
♦ Dans l'onglet "Analyser" clique sur Poste de travail afin de faire une analyse complète du système
Une fois le scan terminé, le résultat s'affiche.
♦ Clique sur "enregistrer rapport" pour faire une sauvegarde de ce dernier et post-le.
Poste le rapport de Kaspersky.
22 avril 2010 à 14:32
J'ai redémarré sous mode sans echec avec connexion réseau parce que en mode normal le pc s'éteint automatique au démarrage pour raison de sécurité. J'espère que ça ne pose pas de problème pour les scan.
Pour le scan DDS: https://www.cjoint.com/?ewoBERmrMl
Pour le scan Hijackthis: https://www.cjoint.com/?ewoFA88so0
Merci beaucoup
cristal