Session brouillée et inut. après 5sec

Résolu/Fermé
Tikiki - 3 oct. 2010 à 17:31
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 - 28 oct. 2010 à 11:37
Bonjour,

Depuis maintenant 1 mois et demi, ma session windows se brouille environ 5 secondes après m'être connecté. Des lignes verticales ondulées vertes ou bleues apparaissent, la souris devient une sorte de gros carré, et tout l'écran est ensuite freezé sans autre possibilité que le "reset" violent et sans merci...
Cela ne se produit en revanche pas sur les autres sessions.
C'est d'autant plus embêtant que j'avais activé la protection des documents privés (ou quelque chose comme ça...), et que je suis donc obligé de passer sous Linux pour récupérer mes documents.

J'ai fait une vidéo que vous trouverez au lien suivant :
https://www.youtube.com/watch?v=4ywPX8E8Qmk

Merci d'avance pour votre aide.

24 réponses

hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
3 oct. 2010 à 17:44
Bonjour,

As-tu essayé de démarrer en "Mode sans échec" afin de voir si le problème est identique?

Si le problème ne se produit pas en mode sans échec, tu peux éventuellement opter pour la "dernière bonne configuration connue" ou une "restauration système" si tu as un point de restauration de l'époque du problème.
0
Bonjour.

J'ai effectivement tenté en mode sans échec, mais comme après plus de 5 minutes mon bureau ne s'affichait pas, ...
Je pouvait accéder au gestionnaire des tâches, mais pas d'icônes, pas de barre des tâches...

Et je ne vois pas pourquoi sur une session cela fonctionnerait, et pas sur l'autre.

Merci pour cette réponse rapide
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
3 oct. 2010 à 17:58
Je penche plutôt pour une infection.

Je suppose que tu peux installer un logiciel de diagnostic au départ d'une autre session?

Si c'est le cas, je te recommande de procéder comme suit :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe (clic droit ,"exécuter en tant qu'administrateur" pour Vista).
* Une fois installé le programme s'ouvre automatiquement.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.
0
Merci

Je m'y attelle dès que je rentre chez moi (mais la réponse ne viendra pas tout de suite...)
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
3 oct. 2010 à 18:05
OK,

Pas de problème, c'est quand tu peux ;-)

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonsoir.

Voilà, le fichier est envoyé.
J'ai laissé les options par défaut et lancé le scan normal.

http://www.cijoint.fr/cjlink.php?file=cj201010/cijHimeVxG.txt
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
4 oct. 2010 à 09:11
Bonjour,

Désolé de ne pas avoir répondu plus tôt mais hier j'ai dû m'absenter à 21H.

Il y a en effet plusieurs infections.

Fais ce qui suit dans l'ordre :

1-* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )



2-* Télécharge GMER :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

Tuto : https://www.malekal.com/tutorial-gmer/



3-* MBAM (Malwarebytes anti malwares) est installé sur ton PC.

* Mets le à jour et assure-toi que la version de la base de données soit la 4737 ou plus.

! Déconnecte toi et ferme toutes applications en cours !

--> Fais un examen dit "Complet" .

--> Laisse le programme travailler (et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


* NB: pour ces rapports, un copier/coller devrait suffire.
Pour cela, poste-les un à la fois.

@+
0
Ouch, rien que ça ...

Bon ben, au boulot...

Par contre, comment je lance MBAM sans être connecté ?
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
Modifié par hubertaaz le 4/10/2010 à 22:28
Salut,

Pour MBAM, c'est dernier lieu, en espérant que les 2 Fix auront fait tout le boulot.
NB : ce scan sera très long.

Après la mise à jour où il faut bien sûr être connecté au web, pour le scan ce n'est pas nécessaire et même déconseillé! Il faut aussi laisser le PC au repos pendant le scan.

Bonne fin de soirée.

Je viens aux nouvelles demain matin.
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:15
Bonsoir.
De retour après une longue absence...

Voili voilou : nettoyage avec ad-remover :


======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 22:57:06 le 04/10/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Oriane@GEEK-COMPUTER ( )

============== ACTION(S) ==============


3,Fichier supprimé: C:\WINDOWS\system32\f_jCmthKrsu_.exe
0,Dossier supprimé: C:\Program Files\RelevantKnowledge

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\Interface\{46746D20-5181-11CF-BE90-99AECC0C381F}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FC2C9F12-26A2-11CF-A641-E996DF2C9318}
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\f_jCmthKrsu_
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [4.0b5 (fr)] **

-- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Oriane\\Mes documents\\Téléchargements
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

-- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

========================================
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:16
** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 29 Fichier(s)
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:17
Scan après redémarrage avec ad-remover :

[......]

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [4.0b5 (fr)] **

-- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Oriane\\Mes documents\\Téléchargements
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

-- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 30 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/10/2010 (430 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 04/10/2010 (432 Octet(s))
C:\Ad-Report-CLEAN[3].txt - 05/10/2010 (3109 Octet(s))
C:\Ad-Report-SCAN[1].txt - 04/10/2010 (2604 Octet(s))
C:\Ad-Report-SCAN[2].txt - 04/10/2010 (2773 Octet(s))
C:\Ad-Report-SCAN[3].txt - 05/10/2010 (431 Octet(s))

Fin à: 07:16:49, 05/10/2010

============== E.O.F ==============
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:18
Puis scan avec Gmer :


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-10-05 19:03:40
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Oriane\LOCALS~1\Temp\awrcraog.sys


---- System - GMER 1.0.15 ----

SSDT spqo.sys ZwEnumerateKey [0xF7734DA4]
SSDT spqo.sys ZwEnumerateValueKey [0xF7735132]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xF2CA3BAE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xF2CA39D2]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xF2CA3B0C]
Code F7F2CC9C ZwRequestPort
Code F7F2CD3C ZwRequestWaitReplyPort
Code F7F2CBFC ZwTraceEvent
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code F7F2CC9B NtRequestPort
Code F7F2CD3B NtRequestWaitReplyPort
Code F7F2CBFB NtTraceEvent
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
Device \FileSystem\Ntfs \Ntfs 867D81F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice \Driver\Tcpip \Device\RawIp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:18
Pas de ligne rouge avec Gmer (pourquoi ?)
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:20
Enfin scan avec MBAM :


Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/10/2010 21:18:09
mbam-log-2010-10-06 (21-18-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 619037
Temps écoulé: 7 heure(s), 17 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 35

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108580.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\f_jCmthKrsu_.exe.vir (Adware.Adrotator) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Session Tikiki buggée\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108587.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108585.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108583.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108584.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls64.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108586.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg64.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
D:\Session Tikiki buggée\Downloads\Compressed\TuneUp_Utilities_2008_7.0.8007_Incl_KeyGen-ZWT-www.wareznet.net\TuneUp Utilities 2008 7.0.8007\KeyGen\KeyGen.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\T0rR3nts\Download Crack & Serial Downloader\CrackDown.exe (CrackTool.Agent) -> Quarantined and deleted successfully.
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
9 oct. 2010 à 21:20
(suite)



C:\Documents and Settings\Tikiki le geek\Bureau\Docs\brutus\BrutusA2.exe (HackTool.Brutus) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Compressed\RAM_Booster_1.30\RAM Booster 1.30\Crack\RAMBooster.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Clé avant WinPassCrack\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Downloads\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Instantanés\11-04-2010\Bazar\Utilitaires\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United\GameData\Garage\Media\Texture\Image\GarageGround2.tga (Spyware.Onlinegames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\homepage.txt (Stolen.Data) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\crd.exe (TheftMarker.Crude) -> Quarantined and deleted successfully.
C:\Program Files\TrackMania United\tmunite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United\tmunite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\kg.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Docs\Vmwarekeygen\Vmwarekeygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Fichiers à copier\Compressé\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Programs\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania Sunrise\Trackmania_Sunrise_janu123_www.dl4all.com\Trackmania Sunrise Extreme\Crack\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Linux\Clé U3\Documents\Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Raccourcis Bureau non utilisés\BG&E\Beyond_Good_and_Evil_v1.1_+_18_Trainer\Beyond Good & Evil v1.1 + 18 Trainer.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
D:\Mes Documents\e-anim\jre1.6.0_03\bin\javaw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
Modifié par tikikill le 10/10/2010 à 07:28
Malheureusement, après avoir regardé toutes ces barres vertes qui se remplissent petit à petit (le grand hobby des geeks...), un redémarrage, je tente de me connecter à ma session.

Je n'ai même pas eu d'icônes sur le bureau ! En revanche, la souris bougeait encore après quelques secondes.

Je voudrais bien savoir quel est ce virus qui ne bloque qu'une session, sans toucher aux documents ?


Merci pour tout le temps que tu m'accordes.
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 10:19
Bonjour,

*Dommage d'avoir attendu aussi longtemps car vu le nombre de fichiers infectés voire le secteur de boot (MBR) c'était plutôt urgent. D'autant que des infections rendent le PC plus vulnérable pour d'autres infections.


* Tu me demandes pourquoi pas de ligne rouge avec Gmer
En fait il y a un reste d'infection Rootkit que traite normalement Gmer. Comme il ne l'a pas fait nous le ferons différemment.


* En réponse à la question : quel est le virus qui produit le problème? Je répondrais qu'il n'y a pas qu'un seul malware. Par ailleurs les cracks et les Keygen sont réputés pour être excellents vecteurs d'infections.

Je pense aussi qu'il est possible que l'infection du MBR soit responsable.



Voici la suite :


* Lancez MBRCheck qui se trouve sur le bureau (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
* Si vous avez ceci :


Found non-standard or infected MBR.


Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tapez la lettre Y puis validez avec la touche [Entrée]

* Ensuite, vous aurez ceci :



Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]

* Ensuite, vous verrez ceci :



Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tapez le chiffre 0 puis valide avec [Entrée]

* Vous aurez maintenant un choix à faire, avec des codes de MBR :



Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]

* Ensuite, vous aurez ceci :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

tapez YES puis valide avec [Entrée]

* En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."


Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 5 minutes. Après les 5 minutes, démarre la machine normalement, puis viens nous coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).


* Enfin relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
10 oct. 2010 à 10:38
Oups...

En fait j'ai un multi boot Ubuntu-Windows grâce à GRUB...

Je fais quoi ?
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 10:48
Aucune idée pour l'instant car je ne connais pas bien le multi boot Ubuntu.

Je dois m'informer!

Une définition de ce qu'est précisément le MBR : https://forum.pcastuces.com/default.asp

Ce type d'infection permet de capter des mots de passe comme tu peux le voir ici : https://www.commentcamarche.net/faq/25171-infection-sinowal-mebroot-rootkit-mbr-bootkit
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 10:55
J'ai lu ce qui suit :" le logiciel GAG te permet d'installer le Grub dans le secteur boot de partition et non dans le MBR. GAG lui s'installe dans le mbr mais tu peux aussi l'installer sur un media bootable. Sans la clef/disque le système bootera alors sous windows et avec tu auras le menu
multiboot."


Le Grub est-il dans le MBR ou dans le secteur boot de partition sur ton PC?
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 12:14
J'ai trouvé l'information suivante : "Réparer le MBR
Windows XP : utiliser la commande fixmbr depuis la console de récupération.
Windows Vista : utiliser la commande bootrec /FixMbr depuis la console de récupération.
Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot."


Source : http://assiste.com.free.fr/p/virus/virus_de_boot.html
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 13:06
Pourrais-tu me poster le rapport MBRCheck qui se trouve sur le bureau svp?
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
10 oct. 2010 à 13:28
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF782F000 vdmfse.sys
0xF771B000 spxm.sys
0xF7D31000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF7703000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF76D4000 ACPI.sys
0xF76C3000 pci.sys
0xF783F000 isapnp.sys
0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF784F000 MountMgr.sys
0xF76A4000 ftdisk.sys
0xF7AB7000 PartMgr.sys
0xF7ABF000 videX32.sys
0xF785F000 ViBus.sys
0xF786F000 sfsync02.sys
0xF787F000 VolSnap.sys
0xF768C000 atapi.sys
0xF788F000 ViPrt.sys
0xF789F000 disk.sys
0xF78AF000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF766C000 fltMgr.sys
0xF765A000 sr.sys
0xF7643000 KSecDD.sys
0xF75B6000 Ntfs.sys
0xF7589000 NDIS.sys
0xF7AC7000 viaagp1.sys
0xF7576000 sfvfs02.sys
0xF7ACF000 sfhlp02.sys
0xF7564000 sfdrv01.sys
0xF754A000 Mup.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5893000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF587F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF585C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C2F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5838000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7C37000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7AEF000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF5824000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79FF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7AF7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7AFF000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF5813000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CDB000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7A0F000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
0xF57DA000 \SystemRoot\System32\Drivers\axito8c6.SYS
0xF57B2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7E9F000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7A6F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF62F5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF579B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7A7F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7A8F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B77000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF578A000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7A9F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B7F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B8F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7B97000 \SystemRoot\system32\DRIVERS\teamviewervpn.sys
0xF78BF000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7D97000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF572C000 \SystemRoot\system32\DRIVERS\update.sys
0xF62E1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
10 oct. 2010 à 13:31
0xF7B9F000 \SystemRoot\system32\DRIVERS\nvoclock.sys
0xF52C0000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF529C000 \SystemRoot\system32\drivers\portcls.sys
0xF78CF000 \SystemRoot\system32\drivers\drmk.sys
0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF791F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7DA3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7DAD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7F45000 \SystemRoot\System32\Drivers\Null.SYS
0xF7DAF000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BCF000 \SystemRoot\System32\drivers\vga.sys
0xF7DB1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7DB3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BD7000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BDF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CDF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF3119000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF30C0000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF6B8C000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xF30AE000 \SystemRoot\system32\drivers\ts_lb.sys
0xF3086000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF7CEB000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF3064000 \SystemRoot\System32\drivers\afd.sys
0xF6B7C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF302D000 \SystemRoot\System32\drivers\truecrypt.sys
0xF3007000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF6B6C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF2FDC000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2F44000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF6B4C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF2F1D000 \SystemRoot\System32\Drivers\aswSP.SYS
0xF7BEF000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xF6B1C000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7522000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BFF000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E49000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF7526000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xF2BE6000 \??\D:\Program Files\Sandboxie\SbieDrv.sys
0xF2B7F000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xF29C2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DA9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF7DAB000 \SystemRoot\System32\Drivers\TBPanel.SYS
0xF2A3F000 \??\C:\WINDOWS\system32\drivers\CdaC15BA.SYS
0xF7BBF000 \SystemRoot\system32\drivers\npf.sys
0xF282B000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7BF7000 \SystemRoot\System32\Drivers\aswRdr.SYS
0xF2316000 \SystemRoot\system32\drivers\wdmaud.sys
0xF26AB000 \SystemRoot\system32\drivers\sysaudio.sys
0xF20A5000 \SystemRoot\System32\Drivers\HTTP.sys
0xF1EBD000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xF7DDF000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xEB161000 \SystemRoot\system32\DRIVERS\ewusbmdm.sys
0xF260F000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xEB8FF000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF7C17000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7B5F000 \SystemRoot\System32\Drivers\Modem.SYS
0xEB08C000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEB12E000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
0x10000000 \Program Files\DAEMON Tools Lite\Engine.dll

Processes (total 46):
0 System Idle Process
4 System
800 C:\WINDOWS\system32\smss.exe
956 csrss.exe
984 C:\WINDOWS\system32\winlogon.exe
1076 C:\WINDOWS\system32\services.exe
1088 C:\WINDOWS\system32\lsass.exe
1268 C:\WINDOWS\system32\nvsvc32.exe
1412 C:\WINDOWS\system32\svchost.exe
1524 svchost.exe
1604 D:\Program Files\Sandboxie\SbieSvc.exe
1616 C:\WINDOWS\system32\svchost.exe
1772 svchost.exe
1916 svchost.exe
1972 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
600 C:\WINDOWS\system32\spoolsv.exe
676 svchost.exe
716 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
772 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
832 C:\WINDOWS\system32\cisvc.exe
908 C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe
996 C:\Program Files\Java\jre6\bin\jqs.exe
1040 C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
1376 D:\Program Files\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
1512 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
1736 C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe
1824 C:\WINDOWS\system32\searchindexer.exe
2316 alg.exe
2796 C:\WINDOWS\explorer.exe
3740 C:\WINDOWS\TBPanel.exe
3800 C:\WINDOWS\RTHDCPL.exe
4032 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
2080 C:\WINDOWS\system32\rundll32.exe
2252 C:\WINDOWS\system32\ctfmon.exe
2268 C:\WINDOWS\system32\rundll32.exe
3208 C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
3976 C:\WINDOWS\system32\wscntfy.exe
2260 C:\WINDOWS\system32\cidaemon.exe
1156 C:\Program Files\Internet Download Manager\IEMonitor.exe
1448 C:\Program Files\kit bouygtel\kit bouygtel.exe
3624 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyMenu\LiberKeyMenu.exe
3376 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyPortabilizer\LiberKeyPortabilizer.exe
1172 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
2044 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
2192 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
2008 C:\Program Files\ZHPDiag\mbrcheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000030'd3cbae00 (NTFS)

PhysicalDrive0 Model Number: WDCWD4000AAKB-00YSA0, Rev: 12.01C02

Size Device Name MBR Status
--------------------------------------------
372 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: A2807BA7FD4C206EFECA81EE5D8474BD4DCD1035


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!
0
hubertaaz Messages postés 8194 Date d'inscription vendredi 12 mai 2006 Statut Contributeur sécurité Dernière intervention 22 janvier 2014 1 599
10 oct. 2010 à 15:12
Ok,

Renseignement pris, merci à gen-hackman, il est préférable de ne pas corriger le MBR dans le cas présent.

On va refaire un état des lieux :

Relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.
0
tikikill Messages postés 16 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 2 septembre 2012
10 oct. 2010 à 15:18
Voilà c'est fait :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijb9SyUWr.txt
0