Nettir32 /Pc très lent
Pat
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
j'ai le même soucis que le monsieur plus haut ! Mon Pc est super lent et j'ai aussi nettir32 dans le msconfig !qui revient à chaque fois !
j'ai passé OTL voilà les fichiers , si quelqu'un peu me venir en aide ,j'ai passé pleins d'anti virus , antimalware etc...rien à faire ça revient toujours ! je sais plus quoi faire ! merci d'avancecar la je suis dépassé !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijASN8CbB.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijZGbHqMz.txt
j'ai le même soucis que le monsieur plus haut ! Mon Pc est super lent et j'ai aussi nettir32 dans le msconfig !qui revient à chaque fois !
j'ai passé OTL voilà les fichiers , si quelqu'un peu me venir en aide ,j'ai passé pleins d'anti virus , antimalware etc...rien à faire ça revient toujours ! je sais plus quoi faire ! merci d'avancecar la je suis dépassé !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijASN8CbB.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijZGbHqMz.txt
A voir également:
- Nettir32 /Pc très lent
- Pc tres lent - Guide
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
19 réponses
Bonsoir,
je regarde les rapports.
J'aimerais vérifier deux choses :
1/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
2/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Clique sur parcourir pour sélectionner le fichier suivant :
Chemin : C:\WINDOWS\System32\mklogin.exe
# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
A+
je regarde les rapports.
J'aimerais vérifier deux choses :
1/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
2/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Clique sur parcourir pour sélectionner le fichier suivant :
Chemin : C:\WINDOWS\System32\mklogin.exe
# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
A+
Bonjour,
j'ai eu le même problème hier soir et j'ai suivi ce qui est indiqué ici :
https://support.avg.com/answers#!/feedtype=RECENT_REPLY&dc=All&criteria=ALLQUESTIONS
j'ai suspendu le processus scvhost qui prenait 100% du temps cpu avec Processus Hacker
et ensuite j'ai lancé Sophos Anti-Rootkit et j'ai pu enlever le fichier caché nettir32.exe
j'ai eu le même problème hier soir et j'ai suivi ce qui est indiqué ici :
https://support.avg.com/answers#!/feedtype=RECENT_REPLY&dc=All&criteria=ALLQUESTIONS
j'ai suspendu le processus scvhost qui prenait 100% du temps cpu avec Processus Hacker
et ensuite j'ai lancé Sophos Anti-Rootkit et j'ai pu enlever le fichier caché nettir32.exe
voila le rapport de gmer (super long comme analyse !) ensuite j'ai eu un gros écran bleu pas longtemps après que gmer m'ai indique un arrêt du a un rootkits a la fin de l'analyse !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijaVuXAbg.txt
Pour virus total c'est en cour d'analyse !!!!
http://www.cijoint.fr/cjlink.php?file=cj201006/cijaVuXAbg.txt
Pour virus total c'est en cour d'analyse !!!!
Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.26 2010.06.01 -
AhnLab-V3 2010.06.01.01 2010.06.01 -
AVG 9.0.0.787 2010.06.01 -
BitDefender 7.2 2010.06.01 -
ClamAV 0.96.0.3-git 2010.06.01 -
DrWeb 5.0.2.03300 2010.06.01 -
eSafe 7.0.17.0 2010.06.01 -
F-Secure 9.0.15370.0 2010.06.01 -
Fortinet 4.1.133.0 2010.06.01 -
GData 21 2010.06.01 -
Kaspersky 7.0.0.125 2010.06.01 -
McAfee 5.400.0.1158 2010.06.01 -
McAfee-GW-Edition 2010.1 2010.06.01 -
Microsoft 1.5802 2010.06.01 -
NOD32 5164 2010.06.01 -
nProtect 2010-06-01.02 2010.06.01 -
PCTools 7.0.3.5 2010.06.01 -
Sophos 4.53.0 2010.06.01 -
Sunbelt 6387 2010.06.01 -
Symantec 20101.1.0.89 2010.06.01 -
TheHacker 6.5.2.0.291 2010.06.01 -
VBA32 3.12.12.5 2010.06.01 -
VirusBuster 5.0.27.0 2010.06.01 -
Information additionnelle
File size: 694272 bytes
MD5...: d2ecd8f13e93fef6e1e817ed2830659a
SHA1..: f82f8ea8cd9342a0c8b6797be43b556ce691da7d
SHA256: a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79
ssdeep: 12288:7pI+dKssoqV8/trpntUsFfBEQ5++yspmLHT25gYFyePhhqrPDpzk2+bn:7
W/rIMkr
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xae8b
timedatestamp.....: 0x3b7d838b (Fri Aug 17 20:50:19 2001)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2484a 0x24a00 6.51 76c7990dfb03e393d74d4f8d9dc22be8
.data 0x26000 0x16308 0x5800 1.79 5094b2d5f53310616bd4270255b39d39
.rsrc 0x3d000 0x7f01c 0x7f200 6.32 59f9aba1d04c4bfdc4aa3afb889de024
( 15 imports )
> msvcrt.dll: _controlfp, __3@YAXPAX@Z, swprintf, _wcsicmp, _purecall, wcscpy, qsort, _c_exit, _exit, _iob, fwrite, strtol, _wtoi, _itow, _ftol, memmove, _snwprintf, wcsncpy, wcscmp, wcslen, _except_handler3, atoi, _onexit, __dllonexit, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter
> ADVAPI32.dll: RegOpenKeyExA, LookupPrivilegeValueW, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, ConvertSidToStringSidW, RegLoadKeyW, RegUnLoadKeyW, GetUserNameW, RegQueryValueExA, RegOpenKeyExW, RegCloseKey, RegQueryValueExW, LookupAccountNameW, GetSidSubAuthorityCount, GetSidSubAuthority
> KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, LoadLibraryA, InterlockedCompareExchange, DeleteAtom, AddAtomW, lstrcatW, TlsGetValue, HeapFree, HeapReAlloc, HeapAlloc, MulDiv, GetProcAddress, LoadLibraryW, InterlockedDecrement, InterlockedIncrement, HeapCreate, TlsAlloc, TlsFree, HeapDestroy, TlsSetValue, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetLocaleInfoW, GetModuleHandleW, lstrlenW, lstrcpynW, lstrcmpiW, SetUnhandledExceptionFilter, ExitProcess, LocalAlloc, lstrcpyW, LocalFree, DelayLoadFailureHook, GetLastError, GetComputerNameW, LocalSize, SetLastError, ExpandEnvironmentStringsW, IsBadWritePtr, IsBadStringPtrW, GetCurrentProcess, GetCurrentThread, CloseHandle, InterlockedExchange, GetVersionExA, GetAtomNameW, SetProcessWorkingSetSize, GetUserDefaultUILanguage, MultiByteToWideChar, FindAtomW, EnterCriticalSection, LeaveCriticalSection, OutputDebugStringW, SizeofResource, LockResource, LoadResource, FindResourceW
> GDI32.dll: GetDeviceCaps, CreateSolidBrush, GdiFlush, CreateFontIndirectW, CreateCompatibleDC, CreateCompatibleBitmap, CreateRectRgn, OffsetRgn, ExtTextOutA, LPtoDP, StretchDIBits, GetLayout, SetLayout, CreateDIBPatternBrushPt, CreateDIBSection, GetDIBits, GetBrushOrgEx, SetBrushOrgEx, CreateHalftonePalette, SelectPalette, RealizePalette, PlayEnhMetaFile, SetStretchBltMode, CreatePatternBrush, BitBlt, SetBkMode, SetTextAlign, GetTextExtentPoint32W, DeleteEnhMetaFile, GetObjectA, StretchBlt, GetObjectW, GetPixel, CreateBitmap, SelectObject, SetBkColor, SetTextColor, ExtTextOutW, PatBlt, DeleteObject, DeleteDC, GetStockObject
> USER32.dll: CreateWindowExW, ShowWindow, SetForegroundWindow, EnableWindow, DestroyWindow, UnregisterClassW, GetSystemMetrics, SetWindowLongW, MonitorFromPoint, GetMonitorInfoW, SetWindowPos, wsprintfW, LoadStringW, PostMessageW, CopyIcon, GetClientRect, MessageBoxW, FindWindowW, GetKeyboardLayout, DestroyIcon, GetKeyboardLayoutList, SystemParametersInfoW, GetDC, ReleaseDC, GetSysColor, DrawTextW, GetProcessDefaultLayout, CreateIconIndirect, GetWindowRect, SendMessageW, KillTimer, SetTimer, LoadCursorW, RegisterClassExW, GetWindowLongW, DefWindowProcW, BeginPaint, FillRect, EndPaint, CharNextA, CharNextW, GetWindowLongA, SetRect, GetIconInfo, LoadImageW, EqualRect, DrawIconEx, DrawFocusRect, IntersectRect, DrawFrameControl, CopyRect, SetRectEmpty, AdjustWindowRectEx, GetParent, SetCursor, ScreenToClient, GetMessagePos, InvalidateRect, DefWindowProcA, GetClassInfoExW, GetSysColorBrush, SendMessageA, GetWindowTextW, GetWindowTextLengthW, DispatchMessageW, TranslateMessage, GetMessageW, PostQuitMessage, SetWindowLongA, SetFocus, SystemParametersInfoA, NotifyWinEvent, SetParent, CallWindowProcW, UpdateWindow, SetWindowRgn, SetWindowTextW, MapWindowPoints, GetFocus
> COMCTL32.dll: -, -, InitCommonControlsEx, -, -, -
> SHELL32.dll: -
> ntdll.dll: NtQuerySystemInformation, RtlUnhandledExceptionFilter
> NETAPI32.dll: NetApiBufferFree, DsGetDcNameW, NetQueryDisplayInformation
> ole32.dll: CoUninitialize, CoInitialize, CoDisconnectObject, CoInitializeEx, CoCreateInstance
> OLEAUT32.dll: -, -, -, -
> RPCRT4.dll: RpcBindingFromStringBindingW, NdrClientCall2, RpcBindingFree, RpcStringFreeW, RpcEpResolveBinding, RpcStringBindingComposeW
> DUSER.dll: UtilDrawBlendRect, DUserRegisterStub, DeleteHandle, FindGadgetFromPoint, LookupGadgetTicket, SetGadgetRootInfo, GetStdColorBrushI, GetStdColorI, FindStdColor, GetMessageExW, InitGadgets, SetGadgetBufferInfo, GetGadgetTicket, MapGadgetPoints, CreateAction, GetGadgetRgn, GetGadgetAnimation, BuildInterpolation, BuildAnimation, GetGadgetSize, GetGadgetRect, CreateGadget, DUserPostEvent, ForwardGadgetMessage, AttachWndProcW, InvalidateGadget, SetGadgetRect, SetGadgetParent, SetGadgetFocus, GetGadgetFocus, SetGadgetMessageFilter, SetGadgetStyle, DUserSendEvent
> MSIMG32.dll: GradientFill, AlphaBlend, TransparentBlt
> OLEACC.dll: LresultFromObject, AccessibleObjectFromWindow, CreateStdAccessibleObject
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
a-squared 5.0.0.26 2010.06.01 -
AhnLab-V3 2010.06.01.01 2010.06.01 -
AVG 9.0.0.787 2010.06.01 -
BitDefender 7.2 2010.06.01 -
ClamAV 0.96.0.3-git 2010.06.01 -
DrWeb 5.0.2.03300 2010.06.01 -
eSafe 7.0.17.0 2010.06.01 -
F-Secure 9.0.15370.0 2010.06.01 -
Fortinet 4.1.133.0 2010.06.01 -
GData 21 2010.06.01 -
Kaspersky 7.0.0.125 2010.06.01 -
McAfee 5.400.0.1158 2010.06.01 -
McAfee-GW-Edition 2010.1 2010.06.01 -
Microsoft 1.5802 2010.06.01 -
NOD32 5164 2010.06.01 -
nProtect 2010-06-01.02 2010.06.01 -
PCTools 7.0.3.5 2010.06.01 -
Sophos 4.53.0 2010.06.01 -
Sunbelt 6387 2010.06.01 -
Symantec 20101.1.0.89 2010.06.01 -
TheHacker 6.5.2.0.291 2010.06.01 -
VBA32 3.12.12.5 2010.06.01 -
VirusBuster 5.0.27.0 2010.06.01 -
Information additionnelle
File size: 694272 bytes
MD5...: d2ecd8f13e93fef6e1e817ed2830659a
SHA1..: f82f8ea8cd9342a0c8b6797be43b556ce691da7d
SHA256: a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79
ssdeep: 12288:7pI+dKssoqV8/trpntUsFfBEQ5++yspmLHT25gYFyePhhqrPDpzk2+bn:7
W/rIMkr
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xae8b
timedatestamp.....: 0x3b7d838b (Fri Aug 17 20:50:19 2001)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2484a 0x24a00 6.51 76c7990dfb03e393d74d4f8d9dc22be8
.data 0x26000 0x16308 0x5800 1.79 5094b2d5f53310616bd4270255b39d39
.rsrc 0x3d000 0x7f01c 0x7f200 6.32 59f9aba1d04c4bfdc4aa3afb889de024
( 15 imports )
> msvcrt.dll: _controlfp, __3@YAXPAX@Z, swprintf, _wcsicmp, _purecall, wcscpy, qsort, _c_exit, _exit, _iob, fwrite, strtol, _wtoi, _itow, _ftol, memmove, _snwprintf, wcsncpy, wcscmp, wcslen, _except_handler3, atoi, _onexit, __dllonexit, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter
> ADVAPI32.dll: RegOpenKeyExA, LookupPrivilegeValueW, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, ConvertSidToStringSidW, RegLoadKeyW, RegUnLoadKeyW, GetUserNameW, RegQueryValueExA, RegOpenKeyExW, RegCloseKey, RegQueryValueExW, LookupAccountNameW, GetSidSubAuthorityCount, GetSidSubAuthority
> KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, LoadLibraryA, InterlockedCompareExchange, DeleteAtom, AddAtomW, lstrcatW, TlsGetValue, HeapFree, HeapReAlloc, HeapAlloc, MulDiv, GetProcAddress, LoadLibraryW, InterlockedDecrement, InterlockedIncrement, HeapCreate, TlsAlloc, TlsFree, HeapDestroy, TlsSetValue, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetLocaleInfoW, GetModuleHandleW, lstrlenW, lstrcpynW, lstrcmpiW, SetUnhandledExceptionFilter, ExitProcess, LocalAlloc, lstrcpyW, LocalFree, DelayLoadFailureHook, GetLastError, GetComputerNameW, LocalSize, SetLastError, ExpandEnvironmentStringsW, IsBadWritePtr, IsBadStringPtrW, GetCurrentProcess, GetCurrentThread, CloseHandle, InterlockedExchange, GetVersionExA, GetAtomNameW, SetProcessWorkingSetSize, GetUserDefaultUILanguage, MultiByteToWideChar, FindAtomW, EnterCriticalSection, LeaveCriticalSection, OutputDebugStringW, SizeofResource, LockResource, LoadResource, FindResourceW
> GDI32.dll: GetDeviceCaps, CreateSolidBrush, GdiFlush, CreateFontIndirectW, CreateCompatibleDC, CreateCompatibleBitmap, CreateRectRgn, OffsetRgn, ExtTextOutA, LPtoDP, StretchDIBits, GetLayout, SetLayout, CreateDIBPatternBrushPt, CreateDIBSection, GetDIBits, GetBrushOrgEx, SetBrushOrgEx, CreateHalftonePalette, SelectPalette, RealizePalette, PlayEnhMetaFile, SetStretchBltMode, CreatePatternBrush, BitBlt, SetBkMode, SetTextAlign, GetTextExtentPoint32W, DeleteEnhMetaFile, GetObjectA, StretchBlt, GetObjectW, GetPixel, CreateBitmap, SelectObject, SetBkColor, SetTextColor, ExtTextOutW, PatBlt, DeleteObject, DeleteDC, GetStockObject
> USER32.dll: CreateWindowExW, ShowWindow, SetForegroundWindow, EnableWindow, DestroyWindow, UnregisterClassW, GetSystemMetrics, SetWindowLongW, MonitorFromPoint, GetMonitorInfoW, SetWindowPos, wsprintfW, LoadStringW, PostMessageW, CopyIcon, GetClientRect, MessageBoxW, FindWindowW, GetKeyboardLayout, DestroyIcon, GetKeyboardLayoutList, SystemParametersInfoW, GetDC, ReleaseDC, GetSysColor, DrawTextW, GetProcessDefaultLayout, CreateIconIndirect, GetWindowRect, SendMessageW, KillTimer, SetTimer, LoadCursorW, RegisterClassExW, GetWindowLongW, DefWindowProcW, BeginPaint, FillRect, EndPaint, CharNextA, CharNextW, GetWindowLongA, SetRect, GetIconInfo, LoadImageW, EqualRect, DrawIconEx, DrawFocusRect, IntersectRect, DrawFrameControl, CopyRect, SetRectEmpty, AdjustWindowRectEx, GetParent, SetCursor, ScreenToClient, GetMessagePos, InvalidateRect, DefWindowProcA, GetClassInfoExW, GetSysColorBrush, SendMessageA, GetWindowTextW, GetWindowTextLengthW, DispatchMessageW, TranslateMessage, GetMessageW, PostQuitMessage, SetWindowLongA, SetFocus, SystemParametersInfoA, NotifyWinEvent, SetParent, CallWindowProcW, UpdateWindow, SetWindowRgn, SetWindowTextW, MapWindowPoints, GetFocus
> COMCTL32.dll: -, -, InitCommonControlsEx, -, -, -
> SHELL32.dll: -
> ntdll.dll: NtQuerySystemInformation, RtlUnhandledExceptionFilter
> NETAPI32.dll: NetApiBufferFree, DsGetDcNameW, NetQueryDisplayInformation
> ole32.dll: CoUninitialize, CoInitialize, CoDisconnectObject, CoInitializeEx, CoCreateInstance
> OLEAUT32.dll: -, -, -, -
> RPCRT4.dll: RpcBindingFromStringBindingW, NdrClientCall2, RpcBindingFree, RpcStringFreeW, RpcEpResolveBinding, RpcStringBindingComposeW
> DUSER.dll: UtilDrawBlendRect, DUserRegisterStub, DeleteHandle, FindGadgetFromPoint, LookupGadgetTicket, SetGadgetRootInfo, GetStdColorBrushI, GetStdColorI, FindStdColor, GetMessageExW, InitGadgets, SetGadgetBufferInfo, GetGadgetTicket, MapGadgetPoints, CreateAction, GetGadgetRgn, GetGadgetAnimation, BuildInterpolation, BuildAnimation, GetGadgetSize, GetGadgetRect, CreateGadget, DUserPostEvent, ForwardGadgetMessage, AttachWndProcW, InvalidateGadget, SetGadgetRect, SetGadgetParent, SetGadgetFocus, GetGadgetFocus, SetGadgetMessageFilter, SetGadgetStyle, DUserSendEvent
> MSIMG32.dll: GradientFill, AlphaBlend, TransparentBlt
> OLEACC.dll: LresultFromObject, AccessibleObjectFromWindow, CreateStdAccessibleObject
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK,
merci pour le rapport gmer.
cela montre bien l'infection.
J'attends le rapport de virustotal pour la suite.
A+
merci pour le rapport gmer.
cela montre bien l'infection.
J'attends le rapport de virustotal pour la suite.
A+
voila l'analyse
http://www.virustotal.com/fr/analisis/a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79-1275422925
http://www.virustotal.com/fr/analisis/a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79-1275422925
pat ou epiznard , ;-)
désolé, je n'avais pas vu le rapport en postant ma réponse.
On va essayer comme cela.
On va voir si le rootkit est viré ou pas.
1/ Relance OTL.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
2/ Relance OTL et clique sur analyse rapide.
poste le rapport.
3/ Relance également gmer et poste le rapport.
A+
désolé, je n'avais pas vu le rapport en postant ma réponse.
On va essayer comme cela.
On va voir si le rootkit est viré ou pas.
1/ Relance OTL.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
:OTL O4 - Startup: C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\nettir32.exe () [2010/06/01 20:33:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Local Settings\Application Data\Conduit [2010/06/01 20:33:38 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit [2010/06/01 21:58:24 | 000,772,096 | ---- | M] () -- C:\WINDOWS\System32\drivers\syevgq.sys [2010/06/01 08:49:29 | 000,000,012 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\vqdlkr.dat [2010/06/01 11:29:04 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\vqdlkr.dat :Services syevgq :Commands [emptytemp] [emptyflash]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
2/ Relance OTL et clique sur analyse rapide.
poste le rapport.
3/ Relance également gmer et poste le rapport.
A+
voila le rapport après le fix
http://www.cijoint.fr/cjlink.php?file=cj201006/cijq0vQlgk.txt
je relance otl et gmer et je poste ensuite et merci pour ton aide !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijq0vQlgk.txt
je relance otl et gmer et je poste ensuite et merci pour ton aide !
Ok,
Le rootkit doit encore être la.
Gmer nous le confirmera.
A+
File move failed. C:\WINDOWS\system32\drivers\syevgq.sys scheduled to be moved on reboot.
Le rootkit doit encore être la.
Gmer nous le confirmera.
A+
http://www.cijoint.fr/cjlink.php?file=cj201006/cijk7UCiRt.txt
j'ai repassé OTL
j'ai commencé gmer et il m'a mis la même chose que la premier fois , donc je crois qu'il est encore la !
mais la je suis vraiment KO , je passe gmer demain et je poste le rapport , si ça se confirme , que faire?
j'ai repassé OTL
j'ai commencé gmer et il m'a mis la même chose que la premier fois , donc je crois qu'il est encore la !
mais la je suis vraiment KO , je passe gmer demain et je poste le rapport , si ça se confirme , que faire?
epinardz,
1/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe
2/ Copie le texte ci-dessous :
Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.
3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.
* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg
* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.
4/ The Avenger va automatiquement faire ce qui suit:
* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
A+
1/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe
2/ Copie le texte ci-dessous :
Drivers to disable: syevgq Drivers to delete: syevgq Files to delete: C:\WINDOWS\System32\Drivers\syevgq.sys Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\syevgq
Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.
3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.
* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg
* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.
4/ The Avenger va automatiquement faire ce qui suit:
* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
A+
voilà le résultat
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlMzd4IP.txt
il faut que je précise que depuis ton intervention hier avec le premier script dans OTL , mon pc est beaucoup moins lent , il m'a fait quelques écrans bleus (apparemment la mémoire de ma carte vidéo était saturée)
Avant de passer Avenger , j'avais regardé dans ms config et nettir32 n'était plus activé même après reboot , j'ai aussi passer sophos avant Avenger.
La ça a l'air d'aller..
Petite question , comment on attrape ce genre de bébête?
la seul difference par rapport à d'habitude c'est que j'ai utilisé msn cette semaine !
En tout cas merci pour ton aide précieuse ! heureusement qu'il y a encore des gens sympas comme toi !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlMzd4IP.txt
il faut que je précise que depuis ton intervention hier avec le premier script dans OTL , mon pc est beaucoup moins lent , il m'a fait quelques écrans bleus (apparemment la mémoire de ma carte vidéo était saturée)
Avant de passer Avenger , j'avais regardé dans ms config et nettir32 n'était plus activé même après reboot , j'ai aussi passer sophos avant Avenger.
La ça a l'air d'aller..
Petite question , comment on attrape ce genre de bébête?
la seul difference par rapport à d'habitude c'est que j'ai utilisé msn cette semaine !
En tout cas merci pour ton aide précieuse ! heureusement qu'il y a encore des gens sympas comme toi !
epinardz,
Quelques remarques sur ta config.
1/ désinstalle Adobe Reader 6.0.1 . Ce logiciel n'est aps à jour.
Tu laisses ainsi une faille de sécurité dans ta machine.
Télécharge la dernière version :
https://get2.adobe.com/fr/reader/otherversions/
2/ des restes de spywares ( détournements de pages ) :
Relance OTL et copie/colle le texte suivant dans personnalisation.
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix. Poste-le.
3/ Je vois que tu as Malwarebytes sur le PC.
Tu le lanceras pour faire un vérification.
Si tu trouves quelque chose, poste le rapport.
4/ Une dernière vérification : un scan en ligne.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport si tu trouves quelque chose.
On termine ensuite.
A+
Quelques remarques sur ta config.
1/ désinstalle Adobe Reader 6.0.1 . Ce logiciel n'est aps à jour.
Tu laisses ainsi une faille de sécurité dans ta machine.
Télécharge la dernière version :
https://get2.adobe.com/fr/reader/otherversions/
2/ des restes de spywares ( détournements de pages ) :
Relance OTL et copie/colle le texte suivant dans personnalisation.
:OTL PRC - [2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028 :Commands [start explorer]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix. Poste-le.
3/ Je vois que tu as Malwarebytes sur le PC.
Tu le lanceras pour faire un vérification.
Si tu trouves quelque chose, poste le rapport.
4/ Une dernière vérification : un scan en ligne.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport si tu trouves quelque chose.
On termine ensuite.
A+
Tout est clair :-)
Merci Docteur Verni29, vraiment !
C'est fou ce que ça peu engendrer comme stress ces bébêtes :-)
PaT
Merci Docteur Verni29, vraiment !
C'est fou ce que ça peu engendrer comme stress ces bébêtes :-)
PaT
Re,
Oui,
Tu me demandais comment tu as attrapé cette infection.
sans doute en surfant sur le net.
Il y a de plus en plus de risques actuellement ( javascipt sur des sites web, pdf infectés, exploits sur sites webs piégés , .... ).
C'est pour cela qu'il faut avoir son PC bien protégé et pas seulement avec un AV et un parefeu.
On termine.
1/ Enlève les outils utilisés.
Pour cela :
lance OTL et clique sur purge outils.
2/ Utilise CCleaner pour faire un peu de nettoyage.
3/ Fais un point de restauration propre.
--------------------------------------------------------------------------------------------
Un peu de lecture pour s'informer sur les risques
projet antimalwares : https://www.malekal.com/projet-antimalware-2/
---------------------------------------------------------------------------------------------
Peux-tu mettre le sujet en résolu ? Merci.
En te souhaitant bonne lecture et bon surf.
Salut.
C'est fou ce que ça peu engendrer comme stress ces bébêtes :-)
Oui,
Tu me demandais comment tu as attrapé cette infection.
sans doute en surfant sur le net.
Il y a de plus en plus de risques actuellement ( javascipt sur des sites web, pdf infectés, exploits sur sites webs piégés , .... ).
C'est pour cela qu'il faut avoir son PC bien protégé et pas seulement avec un AV et un parefeu.
On termine.
1/ Enlève les outils utilisés.
Pour cela :
lance OTL et clique sur purge outils.
2/ Utilise CCleaner pour faire un peu de nettoyage.
3/ Fais un point de restauration propre.
--------------------------------------------------------------------------------------------
Un peu de lecture pour s'informer sur les risques
projet antimalwares : https://www.malekal.com/projet-antimalware-2/
---------------------------------------------------------------------------------------------
Peux-tu mettre le sujet en résolu ? Merci.
En te souhaitant bonne lecture et bon surf.
Salut.
