[Lags intempestives]

Question

Bonjour, 
Je viens poster sur le forum, car mon ordinateur depuis déjà 2 mois bug énormément, j'entend par là que les actions que j'effectue au sein du pc sont très lentes à s'exécutées.

C'est pour cela que je vous poste un rapport RSIT :


http://www.cijoint.fr/cjlink.php?file=cj201008/cijTlSW2Xz.txt



Merci d'avance
KentiiX



Configuration: Windows 7 / Google Chrome

crapoulou · Answer

Bonsoir, Ton PC est très infecté par des adwares ! Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt) ************ Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

KentiiX · Answer

Merci de ta réponse aussi rapide :) Voilà j'ai fait tout comme tu ma dis.

Voici le fichier fait par AD-R :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijOAVtXtQ.txt

Et voici l'analyse faite par Malwarebytes :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4471

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25/08/2010 1:13:09
mbam-log-2010-08-25 (01-13-09).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 512894
Temps écoulé: 2 heure(s), 25 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 39
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{419eda30-6dff-432c-b534-e15d899abee4} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7a3d6d17-9dd5-4c60-8076-d1784dabaf8c} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{814baa91-dc22-4350-87d6-0c86e93f7f08} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c55ca95c-324b-451c-b2d2-6e895aa75fec} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{e9b1fb08-ba8c-4cda-af62-54ff3baf941d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e9b1fb08-ba8c-4cda-af62-54ff3baf941d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-cd68-4f36-8d02-8c43722ee5da} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{B5BB60EE-125B-40AB-AAA5-A4E194973C95} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\FirstBHO.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\bifrost1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\QNB2EB90WX (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\RAT (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RZDVL2F27W (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microwsoft (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\sshnas21_rasapi32 (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\sshnas21_rasmancs (Worm.KoobFace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\clickpotatolite@clickpotatolite.com (Adware.ClickPotato) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\Quentin\AppData\Roaming\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\directory\CyberGate (Trojan.PWS) -> Quarantined and deleted successfully.
C:\directory\CyberGate\install (Trojan.PWS) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\directory\CyberGate\install\antvirus.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\WidgiHelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files\CrackersKit\Analysis\PEiD\plugins\RebuildPE.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\CrackersKit\Packers\ARM Protector\armp.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Program Files\CrackersKit\Packers\FSG 2.0\fsg.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\CrackersKit\Packers\WinUpack\WinUpackE.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\F1lzr\Web_Generateur\Web_Generateur.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Quentin\AppData\Roaming\winsvchlp32\winsvchlp32.exe (FakeMS) -> Quarantined and deleted successfully.
F:\Téléchargement web\VLCSetup.exe (Adware.HotBar) -> Quarantined and deleted successfully.
C:\Users\Quentin\AppData\Roaming\Bifrost\logg.dat (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\Users\Quentin\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\msiexec.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

crapoulou · Answer

Ces adwares ont été supprimés :

pdfforge toolbar
Searchsettings
MyWebTattoo
ASK
ClickPotato
Conduit
Fast Browser Search
RelevantKnowledge
SmartShopper

Sois vigilent, ne va pas n'importe où !

*******

Que contiens ce dossier :
C:\Program Files\CrackersKit\

J'ai l'impression que tu crackes des logiciels avec ce dossier : PeID pour déchiffrer les exe, contourner les activations logicielles, ....

*******

Vide la quarantaine de MBAM.
Poste un nouveau rapport RSIT.

KentiiX · Answer

CrackersKit c'est un amis à moi qui utilise sa car dé fois je part et il se connecte sur mon ordinateur via teamviewer.

Et il ma dis de ne pas toucher à se dossier... Je dois le supprimer ?

Et sinon pour l'analyse RSIT je le lance et après 5 secondes sa me met ce message d'erreur :

Line -1

Error: Variable used without being declared

crapoulou · Answer

Je dois le supprimer ? 
Quelques éléments infectieux ont été détectés dans ce dossier.
Je pense personnellement qu'il vaudrait mieux mais dis à ton ami de récupérer ce qu'il veut avant à la rigueur...

********

Tu es sur d'avoir lancé AD-R avec l'UAC désactivé et par clic droit => Exécuter en tant qu'administrateur ?!

KentiiX · Answer

Oui.  

L'erreur s'affiche quand RSIt arrive à "Listings services and drivers"  

Et sa dit  

Line -1:  

Error: Variable used without being declared. 

Ps : j'ai supprimé le dossier Crackerskit

crapoulou · Answer

Regarde si ces fichiers existent.
Si oui, envoie leur contenu :

C:\rsit\log.txt
et
C:\rsit\info.txt

Si non, on fera autrement.

KentiiX · Answer

Oui il existe, voici les fichier :

Info.txt :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijbFkq9I0.txt

et Log.txt :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijV8HDzsQ.txt

crapoulou · Answer

Ok. On va utiliser un autre logiciel de diagnostic qui fonctionnera mieux car là, les rapports ne sont pas complets, ...

Avant cela, relance AD-R en mode Recherche stp et poste le rapport pour vérification.

KentiiX · Answer

D'accord.

Voici l'analyse :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijWPzqz4r.txt

crapoulou · Answer

Télécharge ZHPDiag sur ton bureau : = = = = =>>>En cliquant ici <<<= = = = = = Une fois le téléchargement achevé, clique droit sur ZHPDiag.exe et sélectionne "Exécuter en tant qu'administrateur". Suis les instructions. N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. Clique droit sur le raccourci ZHPDiag sur ton Bureau et sélectionne "Exécuter en tant qu'administrateur" pour le lancer. /!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\ Clique sur la loupe pour lancer l'analyse. Laisse l'outil travailler, il peut être assez long. Ferme ZHPDiag en fin d'analyse. Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ (Le rapport se situe en général ici : C:\Program Files\ZHPDiag). Sélectionne le fichier ZHPDiag.txt. Clique sur "Cliquez ici pour déposer le fichier".

KentiiX · Answer

Voilà :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijYMN2yIV.txt

Ps : il dit que j'ai Microsoft Windows XP (5.1.2600) Service Pack 2

Mais enfaite j'ai Windows 7 édition familiale. J'ai du lancer le programme en mode compatibilité windows XP car sinon il plantait :s

crapoulou · Answer

Télécharge Combofix : = = = = >>> En cliquant ici <<< = = = = * On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau. * Clique enfin sur le bouton Enregistrer en bas de page à droite. * Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite ! * Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur". * Clique sur Oui au message de Limitation de Garantie qui s'affiche. * Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte ! Note : Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! * Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. * Note : Le rapport se trouve également là : C:\ComboFix.txt

KentiiX · Answer

Voilà le rapport ComboFix :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijo08JRz7.txt

crapoulou · Answer

Il reste du travail. Télécharge SEAF.exe de C_XX sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Clique droit sur SEAF.exe et sélectionne "Exécuter en tant qu'administrateur" pour le lancer. * Une fenêtre va s'ouvrir. * Copie-colle ceci dans la barre de recherche blanche wininit.exe * Coche sur la droite : "Chercher également dans le registre" * Coche en bas "Afficher les ADS" et "Informations supplémentaires" tape sur [Entrée] * Clique ensuite sur "Lancer la recherche". * Patiente pendant la recherche. * Une fenêtre avec un rapport au format ".txt" va s'afficher. * Copie/colle ce rapport dans ta prochaine réponse.

KentiiX · Answer

Ok.

Voici ce que sa donne :


1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 00:17:12 le 27/08/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. wininit.exe
8. 
9. (!) --- Affichage des ADS
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14. 
15. "c:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe" [ ----A---- | 96256 ]
16. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
17. 
18. CompagnyName: Microsoft Corporation
19. ProductName: Système d'exploitation Microsoft® Windows®
20. InternalName: WinInit
21. OriginalFilename: WinInit.exe.mui
22. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
23. ProductVersion: 6.1.7600.16385
24. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
25. 
26. =========================
27. 
28. "c:\Windows\winsxs\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f\wininit.exe.mui" [ ----A---- | 5120 ]
29. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
30. 
31. CompagnyName: Microsoft Corporation
32. ProductName: Système d'exploitation Microsoft® Windows®
33. InternalName: WinInit
34. OriginalFilename: WinInit.exe.mui
35. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
36. ProductVersion: 6.1.7600.16385
37. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
38. 
39. =========================
40. 
41. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f_wininit.exe.mui_997435f5" [ ----A---- | 5120 ]
42. TC: 14/07/2009,10:39:36 | TM: 14/07/2009,10:39:30 | DA: 14/07/2009,10:39:30
43. 
44. CompagnyName: Microsoft Corporation
45. ProductName: Système d'exploitation Microsoft® Windows®
46. InternalName: WinInit
47. OriginalFilename: WinInit.exe.mui
48. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
49. ProductVersion: 6.1.7600.16385
50. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
51. 
52. =========================
53. 
54. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28" [ ----A---- | 96256 ]
55. TC: 14/07/2009,04:19:08 | TM: 14/07/2009,04:17:43 | DA: 14/07/2009,04:17:43
56. 
57. CompagnyName: Microsoft Corporation
58. ProductName: Système d'exploitation Microsoft® Windows®
59. InternalName: WinInit
60. OriginalFilename: WinInit.exe.mui
61. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
62. ProductVersion: 6.1.7600.16385
63. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
64. 
65. =========================
66. 
67. "c:\Windows\System32\wininit.exe" [ ----A---- | 96256 ]
68. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 26/08/2010,21:04:48
69. 
70. CompagnyName: Microsoft Corporation
71. ProductName: Système d'exploitation Microsoft® Windows®
72. InternalName: WinInit
73. OriginalFilename: WinInit.exe.mui
74. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
75. ProductVersion: 6.1.7600.16385
76. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
77. 
78. =========================
79. 
80. "c:\Windows\System32\fr-FR\wininit.exe.mui" [ ----A---- | 5120 ]
81. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
82. 
83. CompagnyName: Microsoft Corporation
84. ProductName: Système d'exploitation Microsoft® Windows®
85. InternalName: WinInit
86. OriginalFilename: WinInit.exe.mui
87. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
88. ProductVersion: 6.1.7600.16385
89. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
90. 
91. =========================
92. 
93. "c:\Windows\ERDNT\cache\wininit.exe" [ ----A---- | 96256 ]
94. TC: 26/08/2010,23:42:06 | TM: 14/07/2009,03:14:45 | DA: 26/08/2010,23:42:06
95. 
96. CompagnyName: Microsoft Corporation
97. ProductName: Système d'exploitation Microsoft® Windows®
98. InternalName: WinInit
99. OriginalFilename: WinInit.exe.mui
100. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
101. ProductVersion: 6.1.7600.16385
102. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
103. 
104. =========================
105. 
106. "c:\Qoobox\Quarantine\C\Windows\System32\wininit.exe.vir" [ ----A---- | 96256 ]
107. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
108. 
109. CompagnyName: Microsoft Corporation
110. ProductName: Système d'exploitation Microsoft® Windows®
111. InternalName: WinInit
112. OriginalFilename: WinInit.exe.mui
113. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
114. ProductVersion: 6.1.7600.16385
115. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
116. 
117. =========================
118. 
119. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
120. 
121. Aucun dossier trouvé
122. 
123. 
124. ====== Entrée(s) du registre ======
125. 
126. 
127. 
128. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
129. "MessageFileName"="%SystemRoot%\system32\wininit.exe"
130. 
131. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
132. "ResourceFileName"="%SystemRoot%\system32\wininit.exe"
133. 
134. [HKEY_LOCAL_MACHINE\SOFTWARE\Swearware\backup\winsock2\Parameters\AppId_Catalog\06EBDCB1]
135. "AppFullPath"="C:\Windows\system32\wininit.exe"
136. 
137. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\Application\Wininit]
138. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
139. 
140. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\Microsoft-Windows-Wininit]
141. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
142. 
143. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
144. "AppFullPath"="C:\Windows\system32\wininit.exe"
145. 
146. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\Application\Wininit]
147. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
148. 
149. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\Microsoft-Windows-Wininit]
150. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
151. 
152. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
153. "AppFullPath"="C:\Windows\system32\wininit.exe"
154. 
155. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Wininit]
156. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
157. 
158. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\Microsoft-Windows-Wininit]
159. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
160. 
161. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
162. "AppFullPath"="C:\Windows\system32\wininit.exe"
163. 
164. =========================
165. 
166. Fin à: 00:28:46 le 27/08/2010 ( E.O.F )

crapoulou · Answer

Tu as un fichier système infecté. Ce fichier est nécessaire au bon fonctionnement du PC, on en va pas le supprimer mais le remplacer par une version saine.

Analyse ces fichiers :
C:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28
C:\Windows\ERDNT\cache\wininit.exe
C:\Windows\system32\wininit.exe
Sur le site de Virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien les rapports en indiquant le fichier analysé à chaque fois !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

KentiiX · Answer

Voilà le fichier 

"C:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28"  :

http://www.virustotal.com/file-scan/report.html?id=f6b4d18fa0d3c4958711ac0d476c21a6fdf2897f989a0ad290b43f463dd8b5b0-1282873951

Le fichier

"C:\Windows\ERDNT\cache\wininit.exe"  :

http://www.virustotal.com/file-scan/report.html?id=f6b4d18fa0d3c4958711ac0d476c21a6fdf2897f989a0ad290b43f463dd8b5b0-1282874057

Le fichier 

"C:\Windows\system32\wininit.exe"  :

http://www.virustotal.com/file-scan/report.html?id=f6b4d18fa0d3c4958711ac0d476c21a6fdf2897f989a0ad290b43f463dd8b5b0-1282874221

KentiiX · Answer

Up svp ^^ Car je n'ai pas de virus dans ces fichiers alors que faire ?

crapoulou · Answer

Recommence SEAF stp et dans "Calculer le checksum", sélectionne MD5.
Poste moi le rapport.

KentiX · Answer

Voilà (j'ai passé un coup de CCleaner avant) :


1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 19:19:09 le 27/08/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. wininit.exe
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. "c:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe" [ ----A---- | 96256 ]
17. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
18. MD5: b5c5dcad3899512020d135600129d665
19. 
20. 
21. CompagnyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: WinInit
24. OriginalFilename: WinInit.exe
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 6.1.7600.16385
27. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
28. 
29. =========================
30. 
31. "c:\Windows\winsxs\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f\wininit.exe.mui" [ ----A---- | 5120 ]
32. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
33. MD5: 5af1fd479961dd493544119b80b52cd1
34. 
35. 
36. CompagnyName: Microsoft Corporation
37. ProductName: Système d'exploitation Microsoft® Windows®
38. InternalName: WinInit
39. OriginalFilename: WinInit.exe.mui
40. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
41. ProductVersion: 6.1.7600.16385
42. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
43. 
44. =========================
45. 
46. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_e7beb9cc5ed3e31f_wininit.exe.mui_997435f5" [ ----A---- | 5120 ]
47. TC: 14/07/2009,10:39:36 | TM: 14/07/2009,10:39:30 | DA: 14/07/2009,10:39:30
48. MD5: 5af1fd479961dd493544119b80b52cd1
49. 
50. 
51. CompagnyName: Microsoft Corporation
52. ProductName: Système d'exploitation Microsoft® Windows®
53. InternalName: WinInit
54. OriginalFilename: WinInit.exe.mui
55. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
56. ProductVersion: 6.1.7600.16385
57. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
58. 
59. =========================
60. 
61. "c:\Windows\winsxs\Backup\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13_wininit.exe_7a527f28" [ ----A---- | 96256 ]
62. TC: 14/07/2009,04:19:08 | TM: 14/07/2009,04:17:43 | DA: 14/07/2009,04:17:43
63. MD5: b5c5dcad3899512020d135600129d665
64. 
65. 
66. CompagnyName: Microsoft Corporation
67. ProductName: Microsoft® Windows® Operating System
68. InternalName: WinInit
69. OriginalFilename: WinInit.exe
70. LegalCopyright: © Microsoft Corporation. All rights reserved.
71. ProductVersion: 6.1.7600.16385
72. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
73. 
74. =========================
75. 
76. "c:\Windows\System32\wininit.exe" [ ----A---- | 96256 ]
77. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 26/08/2010,21:04:48
78. MD5: b5c5dcad3899512020d135600129d665
79. 
80. 
81. CompagnyName: Microsoft Corporation
82. ProductName: Système d'exploitation Microsoft® Windows®
83. InternalName: WinInit
84. OriginalFilename: WinInit.exe.mui
85. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
86. ProductVersion: 6.1.7600.16385
87. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
88. 
89. =========================
90. 
91. "c:\Windows\System32\fr-FR\wininit.exe.mui" [ ----A---- | 5120 ]
92. TC: 14/07/2009,10:39:05 | TM: 14/07/2009,10:39:05 | DA: 14/07/2009,10:39:32
93. MD5: 5af1fd479961dd493544119b80b52cd1
94. 
95. 
96. CompagnyName: Microsoft Corporation
97. ProductName: Système d'exploitation Microsoft® Windows®
98. InternalName: WinInit
99. OriginalFilename: WinInit.exe.mui
100. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
101. ProductVersion: 6.1.7600.16385
102. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
103. 
104. =========================
105. 
106. "c:\Windows\ERDNT\cache\wininit.exe" [ ----A---- | 96256 ]
107. TC: 26/08/2010,23:42:06 | TM: 14/07/2009,03:14:45 | DA: 26/08/2010,23:42:06
108. MD5: b5c5dcad3899512020d135600129d665
109. 
110. 
111. CompagnyName: Microsoft Corporation
112. ProductName: Microsoft® Windows® Operating System
113. InternalName: WinInit
114. OriginalFilename: WinInit.exe
115. LegalCopyright: © Microsoft Corporation. All rights reserved.
116. ProductVersion: 6.1.7600.16385
117. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
118. 
119. =========================
120. 
121. "c:\Qoobox\Quarantine\C\Windows\System32\wininit.exe.vir" [ ----A---- | 96256 ]
122. TC: 14/07/2009,01:36:49 | TM: 14/07/2009,03:14:45 | DA: 14/07/2009,01:36:49
123. MD5: b5c5dcad3899512020d135600129d665
124. 
125. 
126. CompagnyName: Microsoft Corporation
127. ProductName: Microsoft® Windows® Operating System
128. InternalName: WinInit
129. OriginalFilename: WinInit.exe
130. LegalCopyright: © Microsoft Corporation. All rights reserved.
131. ProductVersion: 6.1.7600.16385
132. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
133. 
134. =========================
135. 
136. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
137. 
138. Aucun dossier trouvé
139. 
140. 
141. ====== Entrée(s) du registre ======
142. 
143. 
144. 
145. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
146. "MessageFileName"="%SystemRoot%\system32\wininit.exe"
147. 
148. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{206f6dea-d3c5-4d10-bc72-989f03c8b84b}]
149. "ResourceFileName"="%SystemRoot%\system32\wininit.exe"
150. 
151. [HKEY_LOCAL_MACHINE\SOFTWARE\Swearware\backup\winsock2\Parameters\AppId_Catalog\06EBDCB1]
152. "AppFullPath"="C:\Windows\system32\wininit.exe"
153. 
154. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\Application\Wininit]
155. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
156. 
157. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\System\Microsoft-Windows-Wininit]
158. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
159. 
160. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
161. "AppFullPath"="C:\Windows\system32\wininit.exe"
162. 
163. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\Application\Wininit]
164. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
165. 
166. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\eventlog\System\Microsoft-Windows-Wininit]
167. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
168. 
169. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
170. "AppFullPath"="C:\Windows\system32\wininit.exe"
171. 
172. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Wininit]
173. "EventMessageFile"="%SystemRoot%\System32\wininit.exe"
174. 
175. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\System\Microsoft-Windows-Wininit]
176. "EventMessageFile"="%SystemRoot%\system32\wininit.exe"
177. 
178. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1]
179. "AppFullPath"="C:\Windows\system32\wininit.exe"
180. 
181. =========================
182. 
183. Fin à: 19:25:01 le 27/08/2010 ( E.O.F )

crapoulou · Answer

Suis cette procédure pour supprimer toutes les traces de Norton : = = = =>>> En cliquant ici <<<= = = = Tu ne fais bien entendu pas l'étape 3 de la réinstallation. ******** Télécharge SystemLook sur ton Bureau. * Clique droit sur SystemLook.exe puis "Exécuter en tant qu'administrateur" pour le lancer. * Copie - colle le contenu du texte ci-dessous dans la zone texte de SystemLook : :dir C:\Users\Quentin\AppData\Roaming\winsvchlp32 /s Clique sur le bouton Look pour démarrer l'examen. A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie - colle le rapport dans ta prochaine réponse. Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt Pensées pour Toptitbal

KentiX · Answer

Je compte réinstaller Norton ou cas ou il y aurait des soucis avec Microsoft Security Essantials, donc je ne préfère pas désinstaller ce qui reste de Norton. 

Et pour SystemLook le lien n'est pas valide. Je vais chercher sa sur google ^^

EDIT : Voilà sa a été très vite ^^ :

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 11:56 on 28/08/2010 by Quentin (Administrator - Elevation successful)

========== dir ==========

C:\Users\Quentin\AppData\Roaming\winsvchlp32 - Parameters: "/s"

---Files---
plugin.dat	-rahs- 293376 bytes	[06:42 16/07/2006]	[06:42 16/07/2006]
winsvchlp32.dat	--ah-- 121405 bytes	[07:06 17/07/2005]	[07:06 17/07/2005]

No folders found.

-=End Of File=-

crapoulou · Answer

Je compte réinstaller Norton ou cas ou il y aurait des soucis avec Microsoft Security Essantials, donc je ne préfère pas désinstaller ce qui reste de Norton. 
Il ne faut qu'un seul antivirus sur une même machine !
Il faut choisir !

******

Pour info, le lien fonctionne chez moi...

*****

Supprime ce dossier :
C:\Users\Quentin\AppData\Roaming\winsvchlp32

Si besoin :
Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.

KentiX · Answer

Voilà j'ai supprimé le dossier.

crapoulou · Answer

Parfait.
Quel antivirus choisis-tu de garder ?

KentiX · Answer

Mais lequel tu me conseille ?

Sachant que Norton est très bon mais il exagère par exemple il me supprime des fichiers qui ne sont pas infectés etc...

Et il me fait laguer dans les jeux et aussi il ralenti mon PC à chaque fois qu'il est en veille.

Tant dis que avec Microsoft Essentials je n'ai pas sa. Mais par contre je ne sais pas ce qu'il vaut =/

crapoulou · Answer

Norton n'est absolument pas "très bon" !
Garde Microsoft Essentials, il est bon.

Suis la procédure de suppression de Norton.

KentiX · Answer

Ok je désinstalle complètement Norton

crapoulou · Answer

Désolé, je t'ai oublié :


/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\ 
Cette manipulation est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système. 

Avec Combofix :
- Crée un nouveau document texte : clique droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

KILLALL::

FILE ::
C:	.tmp
c:\windows\system32\start.bat


- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers) 
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est). 
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fais un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image ICI

(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide. 
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! 
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter ! 
- Une fois le scan achevé, un rapport va s'afficher: poste le stp. 
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt 

*******

Télécharge sur le Bureau MBRCheck (par a_d_13)en cliquant sur l'un des liens suivants :

http://www.geekstogo.com/forum/files/file/441-mbrcheck/
https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
http://www.kernelmode.info/MBRCheck.exe


Ferme tout et clique sur MBRCheck.exe
Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type  MBRCheck_AA.JJ.MM_hh.mm.ss.txt
(Exemple : MBRCheck_07.21.10_18.08.06.txt).

Presser la touche [Entrée] pour fermer la fenêtre et copier/coller son contenu sur le forum.

[Lags intempestives]

30 réponses

Votre réponse

Discussions similaires

Newsletters