Session brouillée et inut. après 5sec Résolu/Fermé

Question

Bonjour, 

Depuis maintenant 1 mois et demi, ma session windows se brouille environ 5 secondes après m'être connecté. Des lignes verticales ondulées vertes ou bleues apparaissent, la souris devient une sorte de gros carré, et tout l'écran est ensuite freezé sans autre possibilité que le "reset" violent et sans merci...
Cela ne se produit en revanche pas sur les autres sessions.
C'est d'autant plus embêtant que j'avais activé la protection des documents privés (ou quelque chose comme ça...), et que je suis donc obligé de passer sous Linux pour récupérer mes documents.

J'ai fait une vidéo que vous trouverez au lien suivant :
https://www.youtube.com/watch?v=4ywPX8E8Qmk

Merci d'avance pour votre aide.

Configuration: Windows XP / Firefox 3.6.10

hubertaaz · Answer

Bonjour,

As-tu essayé de démarrer en "Mode sans échec" afin de voir si le problème est identique?

Si le problème ne se produit pas en mode sans échec, tu peux éventuellement opter pour la "dernière bonne configuration connue" ou une "restauration système" si tu as un point de restauration de l'époque du problème.

Tikiki · Answer

Bonjour.

J'ai effectivement tenté en mode sans échec, mais comme après plus de 5 minutes mon bureau ne s'affichait pas, ...
Je pouvait accéder au gestionnaire des tâches, mais pas d'icônes, pas de barre des tâches...

Et je ne vois pas pourquoi sur une session cela fonctionnerait, et pas sur l'autre.

Merci pour cette réponse rapide

hubertaaz · Answer

Je penche plutôt pour une infection.

Je suppose que tu peux installer un logiciel de diagnostic au départ d'une autre session?

Si c'est le cas, je te recommande de procéder comme suit : 

* Télécharge ZHPDiag (de Nicolas Coolman) 
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe (clic droit ,"exécuter en tant qu'administrateur" pour Vista). 
* Une fois installé le programme s'ouvre automatiquement.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.

Tikiki · Answer

Merci

Je m'y attelle dès que je rentre chez moi (mais la réponse ne viendra pas tout de suite...)

Tikiki · Answer

Bonsoir.

Voilà, le fichier est envoyé.
J'ai laissé les options par défaut et lancé le scan normal.

http://www.cijoint.fr/cjlink.php?file=cj201010/cijHimeVxG.txt

hubertaaz · Answer

Bonjour,

Désolé de ne pas avoir répondu plus tôt mais hier j'ai dû m'absenter à 21H.

Il y a en effet plusieurs infections.

Fais ce qui suit dans l'ordre :

1-* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)   

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe   

Miroir:   

https://www.androidworld.fr/   

/!\ Ferme toutes applications en cours /!\   

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.   
- Sur la page, clique sur le bouton « Nettoyer »   
- Confirme lancement du scan   
- Laisse travailler l'outil.   
- Poste le rapport qui apparaît à la fin.   

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )  



2-* Télécharge GMER : 
http://www2.gmer.net/gmer.zip 

* Dézipper le programme. 
* Double cliquer sur Gmer.exe 
* Le programme se lance et fait un auto scan 
(il s'agit de l'onglet : Rootkit/Malware). 


=> Des lignes rouges doivent apparaître en cas d'infection : 

* sur ces lignes rouges: 
o Services: Clique droit puis delete service 
o Process: Clique droit puis kill process 
o Adl, file: Clique droit puis delete files 

Tuto : https://www.malekal.com/tutorial-gmer/ 



3-* MBAM (Malwarebytes anti malwares) est installé sur ton PC.

* Mets le à jour et assure-toi que la version de la base de données soit la 4737 ou plus.

! Déconnecte toi et ferme toutes applications en cours ! 

--> Fais un examen dit "Complet" . 

--> Laisse le programme travailler (et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


* NB: pour ces rapports, un copier/coller devrait suffire.
Pour cela, poste-les un à la fois.

@+

Tikiki · Answer

Ouch, rien que ça ... 

Bon ben, au boulot...

Par contre, comment je lance MBAM sans être connecté ?

tikikill · Answer

Bonsoir.
De retour après une longue absence...

Voili voilou : nettoyage avec ad-remover : 


======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 22:57:06 le 04/10/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Oriane@GEEK-COMPUTER ( ) 
 
============== ACTION(S) ==============


3,Fichier supprimé: C:\WINDOWS\system32\f_jCmthKrsu_.exe
0,Dossier supprimé: C:\Program Files\RelevantKnowledge

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\Interface\{46746D20-5181-11CF-BE90-99AECC0C381F}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FC2C9F12-26A2-11CF-A641-E996DF2C9318}
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\f_jCmthKrsu_
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [4.0b5 (fr)] **

-- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Oriane\Mes documents\Téléchargements
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

-- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

========================================

tikikill · Answer

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 29 Fichier(s)

tikikill · Answer

Scan après redémarrage avec ad-remover : 

[......]

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [4.0b5 (fr)] **

-- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Oriane\Mes documents\Téléchargements
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

-- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
browser.startup.homepage_override.buildID, 20100831070808
browser.startup.homepage_override.mstone, rv:2.0b5

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 30 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/10/2010 (430 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 04/10/2010 (432 Octet(s)) 
C:\Ad-Report-CLEAN[3].txt - 05/10/2010 (3109 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 04/10/2010 (2604 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 04/10/2010 (2773 Octet(s)) 
C:\Ad-Report-SCAN[3].txt - 05/10/2010 (431 Octet(s)) 

Fin à: 07:16:49, 05/10/2010 
 
============== E.O.F ==============

tikikill · Answer

Puis scan avec Gmer : 


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-10-05 19:03:40
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Oriane\LOCALS~1\Temp\awrcraog.sys


---- System - GMER 1.0.15 ----

SSDT            spqo.sys                                                                               ZwEnumerateKey [0xF7734DA4]
SSDT            spqo.sys                                                                               ZwEnumerateValueKey [0xF7735132]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ZwCreateProcessEx [0xF2CA3BAE]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ZwCreateSection [0xF2CA39D2]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ZwLoadDriver [0xF2CA3B0C]
Code            F7F2CC9C                                                                               ZwRequestPort
Code            F7F2CD3C                                                                               ZwRequestWaitReplyPort
Code            F7F2CBFC                                                                               ZwTraceEvent
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  NtCreateSection
Code            F7F2CC9B                                                                               NtRequestPort
Code            F7F2CD3B                                                                               NtRequestWaitReplyPort
Code            F7F2CBFB                                                                               NtTraceEvent
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ObInsertObject
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)  ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                 aswSP.SYS (avast! self protection module/AVAST Software)
Device          \FileSystem\Ntfs \Ntfs                                                                 867D81F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                               aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                               ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

tikikill · Answer

Enfin scan avec MBAM :


Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/10/2010 21:18:09
mbam-log-2010-10-06 (21-18-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 619037
Temps écoulé: 7 heure(s), 17 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 35

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108580.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\f_jCmthKrsu_.exe.vir (Adware.Adrotator) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Session Tikiki buggée\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108587.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108585.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108583.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108584.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls64.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108586.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg64.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
D:\Session Tikiki buggée\Downloads\Compressed\TuneUp_Utilities_2008_7.0.8007_Incl_KeyGen-ZWT-www.wareznet.net\TuneUp Utilities 2008 7.0.8007\KeyGen\KeyGen.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\T0rR3nts\Download Crack & Serial Downloader\CrackDown.exe (CrackTool.Agent) -> Quarantined and deleted successfully.

tikikill · Answer

(suite)



C:\Documents and Settings\Tikiki le geek\Bureau\Docs\brutus\BrutusA2.exe (HackTool.Brutus) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Compressed\RAM_Booster_1.30\RAM Booster 1.30\Crack\RAMBooster.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Clé avant WinPassCrack\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Downloads\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Instantanés\11-04-2010\Bazar\Utilitaires\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United\GameData\Garage\Media\Texture\Image\GarageGround2.tga (Spyware.Onlinegames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\homepage.txt (Stolen.Data) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\crd.exe (TheftMarker.Crude) -> Quarantined and deleted successfully.
C:\Program Files\TrackMania United	munite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United	munite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\kg.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Docs\Vmwarekeygen\Vmwarekeygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Fichiers à copier\Compressé\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Mes Documents\Downloads\Programs\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania Sunrise\Trackmania_Sunrise_janu123_www.dl4all.com\Trackmania Sunrise Extreme\Crack\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Linux\Clé U3\Documents\Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Tikiki le geek\Bureau\Raccourcis Bureau non utilisés\BG&E\Beyond_Good_and_Evil_v1.1_+_18_Trainer\Beyond Good & Evil v1.1 + 18 Trainer.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
D:\Mes Documents\e-anim\jre1.6.0_03\bin\javaw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

tikikill · Answer

Malheureusement, après avoir regardé toutes ces barres vertes qui se remplissent petit à petit (le grand hobby des geeks...), un redémarrage, je tente de me connecter à ma session.  

Je n'ai même pas eu d'icônes sur le bureau ! En revanche, la souris bougeait encore après quelques secondes.  

Je voudrais bien savoir quel est ce virus qui ne bloque qu'une session, sans toucher aux documents ?  


Merci pour tout le temps que tu m'accordes.

hubertaaz · Answer

Bonjour,

*Dommage d'avoir attendu aussi longtemps car vu le nombre de fichiers infectés voire le secteur de boot (MBR) c'était plutôt urgent. D'autant que des infections rendent le PC plus vulnérable pour d'autres infections.


* Tu me demandes pourquoi pas de ligne rouge avec Gmer
En fait il y a un reste d'infection Rootkit que traite normalement Gmer. Comme il ne l'a pas fait nous le ferons différemment.


* En réponse à la question : quel est le virus qui produit le problème? Je répondrais qu'il n'y a pas qu'un seul malware. Par ailleurs les cracks et les Keygen sont réputés pour être excellents vecteurs d'infections.

Je pense aussi qu'il est possible que l'infection du MBR soit responsable.



Voici la suite :


    *  Lancez MBRCheck qui se trouve sur le bureau (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
    * Si vous avez ceci :


Found non-standard or infected MBR.


Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tapez la lettre Y puis validez avec la touche [Entrée]

    * Ensuite, vous aurez ceci :



Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]

    * Ensuite, vous verrez ceci :



Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tapez le chiffre 0 puis valide avec [Entrée]

    * Vous aurez maintenant un choix à faire, avec des codes de MBR :



Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]

    * Ensuite, vous aurez ceci :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

tapez YES puis valide avec [Entrée]

    * En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :



Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."


  Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 5 minutes. Après les 5 minutes, démarre la machine normalement, puis viens nous coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau). 


* Enfin relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.

tikikill · Answer

Oups...

En fait j'ai un multi boot Ubuntu-Windows grâce à GRUB...

Je fais quoi ?

tikikill · Answer

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000007c

Kernel Drivers (total 132):
  0x804D7000 \WINDOWS\system32
toskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
  0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
  0xF782F000 vdmfse.sys
  0xF771B000 spxm.sys
  0xF7D31000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF7703000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xF76D4000 ACPI.sys
  0xF76C3000 pci.sys
  0xF783F000 isapnp.sys
  0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF784F000 MountMgr.sys
  0xF76A4000 ftdisk.sys
  0xF7AB7000 PartMgr.sys
  0xF7ABF000 videX32.sys
  0xF785F000 ViBus.sys
  0xF786F000 sfsync02.sys
  0xF787F000 VolSnap.sys
  0xF768C000 atapi.sys
  0xF788F000 ViPrt.sys
  0xF789F000 disk.sys
  0xF78AF000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF766C000 fltMgr.sys
  0xF765A000 sr.sys
  0xF7643000 KSecDD.sys
  0xF75B6000 Ntfs.sys
  0xF7589000 NDIS.sys
  0xF7AC7000 viaagp1.sys
  0xF7576000 sfvfs02.sys
  0xF7ACF000 sfhlp02.sys
  0xF7564000 sfdrv01.sys
  0xF754A000 Mup.sys
  0xF79CF000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF5893000 \SystemRoot\system32\DRIVERS
v4_mini.sys
  0xF587F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF79EF000 \SystemRoot\system32\DRIVERSedbook.sys
  0xF585C000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7C2F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF5838000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7C37000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7AEF000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF5824000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF79FF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7AF7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7AFF000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF5813000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7CDB000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7A0F000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
  0xF57DA000 \SystemRoot\System32\Drivers\axito8c6.SYS
  0xF57B2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF7E9F000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7A6F000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0xF62F5000 \SystemRoot\system32\DRIVERS
distapi.sys
  0xF579B000 \SystemRoot\system32\DRIVERS
diswan.sys
  0xF7A7F000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0xF7A8F000 \SystemRoot\system32\DRIVERSaspptp.sys
  0xF7B77000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF578A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7A9F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7B7F000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7B8F000 \SystemRoot\system32\DRIVERSaspti.sys
  0xF7B97000 \SystemRoot\system32\DRIVERS	eamviewervpn.sys
  0xF78BF000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0xF7D97000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF572C000 \SystemRoot\system32\DRIVERS\update.sys
  0xF62E1000 \SystemRoot\system32\DRIVERS\mssmbios.sys

tikikill · Answer

0xF7B9F000 \SystemRoot\system32\DRIVERS
voclock.sys
  0xF52C0000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xF529C000 \SystemRoot\system32\drivers\portcls.sys
  0xF78CF000 \SystemRoot\system32\drivers\drmk.sys
  0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF791F000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7DA3000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7DAD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7F45000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7DAF000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7BCF000 \SystemRoot\System32\drivers\vga.sys
  0xF7DB1000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7DB3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7BD7000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7BDF000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7CDF000 \SystemRoot\system32\DRIVERSasacd.sys
  0xF3119000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF30C0000 \SystemRoot\system32\DRIVERS	cpip.sys
  0xF6B8C000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0xF30AE000 \SystemRoot\system32\drivers	s_lb.sys
  0xF3086000 \SystemRoot\system32\DRIVERS
etbt.sys
  0xF7CEB000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xF3064000 \SystemRoot\System32\drivers\afd.sys
  0xF6B7C000 \SystemRoot\system32\DRIVERS
etbios.sys
  0xF302D000 \SystemRoot\System32\drivers	ruecrypt.sys
  0xF3007000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF6B6C000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF2FDC000 \SystemRoot\system32\DRIVERSdbss.sys
  0xF2F44000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF6B4C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF2F1D000 \SystemRoot\System32\Drivers\aswSP.SYS
  0xF7BEF000 \SystemRoot\System32\Drivers\Aavmker4.SYS
  0xF6B1C000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF7522000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7BFF000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7E49000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xF7526000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0xF2BE6000 \??\D:\Program Files\Sandboxie\SbieDrv.sys
  0xF2B7F000 \SystemRoot\System32\Drivers\aswMon2.SYS
  0xF29C2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7DA9000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xF7DAB000 \SystemRoot\System32\Drivers\TBPanel.SYS
  0xF2A3F000 \??\C:\WINDOWS\system32\drivers\CdaC15BA.SYS
  0xF7BBF000 \SystemRoot\system32\drivers
pf.sys
  0xF282B000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF7BF7000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0xF2316000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF26AB000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF20A5000 \SystemRoot\System32\Drivers\HTTP.sys
  0xF1EBD000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xF7DDF000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
  0xBD012000 \SystemRoot\System32
v4_disp.dll
  0xEB161000 \SystemRoot\system32\DRIVERS\ewusbmdm.sys
  0xF260F000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0xEB8FF000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF7C17000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xF7B5F000 \SystemRoot\System32\Drivers\Modem.SYS
  0xEB08C000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xEB12E000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32
tdll.dll
  0x10000000 \Program Files\DAEMON Tools Lite\Engine.dll

Processes (total 46):
       0 System Idle Process
       4 System
     800 C:\WINDOWS\system32\smss.exe
     956 csrss.exe
     984 C:\WINDOWS\system32\winlogon.exe
    1076 C:\WINDOWS\system32\services.exe
    1088 C:\WINDOWS\system32\lsass.exe
    1268 C:\WINDOWS\system32
vsvc32.exe
    1412 C:\WINDOWS\system32\svchost.exe
    1524 svchost.exe
    1604 D:\Program Files\Sandboxie\SbieSvc.exe
    1616 C:\WINDOWS\system32\svchost.exe
    1772 svchost.exe
    1916 svchost.exe
    1972 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
     600 C:\WINDOWS\system32\spoolsv.exe
     676 svchost.exe
     716 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     772 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
     832 C:\WINDOWS\system32\cisvc.exe
     908 C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe
     996 C:\Program Files\Java\jre6\bin\jqs.exe
    1040 C:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
    1376 D:\Program Files\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
    1512 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    1736 C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe
    1824 C:\WINDOWS\system32\searchindexer.exe
    2316 alg.exe
    2796 C:\WINDOWS\explorer.exe
    3740 C:\WINDOWS\TBPanel.exe
    3800 C:\WINDOWS\RTHDCPL.exe
    4032 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
    2080 C:\WINDOWS\system32undll32.exe
    2252 C:\WINDOWS\system32\ctfmon.exe
    2268 C:\WINDOWS\system32undll32.exe
    3208 C:\Program Files\NVIDIA Corporation
Tune
TuneCmd.exe
    3976 C:\WINDOWS\system32\wscntfy.exe
    2260 C:\WINDOWS\system32\cidaemon.exe
    1156 C:\Program Files\Internet Download Manager\IEMonitor.exe
    1448 C:\Program Files\kit bouygtel\kit bouygtel.exe
    3624 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyMenu\LiberKeyMenu.exe
    3376 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyPortabilizer\LiberKeyPortabilizer.exe
    1172 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2044 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2192 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2008 C:\Program Files\ZHPDiag\mbrcheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\D: --> \.\PhysicalDrive0 at offset 0x00000030'd3cbae00  (NTFS)

PhysicalDrive0 Model Number: WDCWD4000AAKB-00YSA0, Rev: 12.01C02

      Size  Device Name          MBR Status
  --------------------------------------------
    372 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: A2807BA7FD4C206EFECA81EE5D8474BD4DCD1035


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!

hubertaaz · Answer

Ok,

Renseignement pris, merci à gen-hackman, il est préférable de ne pas corriger le MBR dans le cas présent.

On va refaire un état des lieux : 

Relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.

tikikill · Answer

Voilà c'est fait : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijb9SyUWr.txt

hubertaaz · Answer

Pas mal de ménage a été fait!

Par contre une nouvelle infection pas les supports externes USB.

Nous allons commencer par la traiter : 

1- * Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau 
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 
* Double clique sur le programme USBFix sur ton Bureau. 
* Au menu principal, clique sur "Suppression" 
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal 
* Laisse travailler l'outil jusqu'au bout 
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

Aide en images : Nettoyage 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.  



2-* Lance ZHPFix depuis le raccourci qui est sur ton bureau. 

* Double Clique sur l'icône ZHPFix

* ZHPFix va s'ouvrir, clique sur "OK".

* Coche les cases suivantes en gras (et pas d'autres!):


O42 - Logiciel: Toxic Biohazard - (.Image-Line.) [HKLM] -- Toxic Biohazard

O47 - AAKE:Key Export SP - "c:\program files\relevantknowledge\rlvknlg.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- c:\program files\relevantknowledge\rlvknlg.exe

O64 - Services: CurCS - (.not file.) - idrmkl (idrmkl)  .(.Pas de propriétaire - Pas de description.) - LEGACY_IDRMKL

O69 - SBI: SearchScopes [HKCU] {B7B664DF-3AF9-4C8E-8148-F42BB7831D27} - (Ask) - https://fr.ask.com/?o=0&l=dir&ad=dirN  


*  Enfin clique sur le bouton [ Nettoyer ] .   

*  Laisse travailler l'outil et ne touche à rien !   

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !   

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

tikikill · Answer

Bonsoir

Désolé de cette attente, je ne m'en suis plus trop occupé...

Mais j'ai récupéré le vieil ordinateur d'un ami, et celui-ci (l'ordi, pas l'ami) possède un processeur 64 bits, alors que j'en avais un 32.
j'ai tenté de booter sur cette machine, mais sans résultat ni avec Windows ni avec Linux (ils n'apprécient peut-être pas d'être installé en mode x86 et de passer d'un coup en mode x64 ...)

Je suis donc en train de sauvegarder tous mes documents sur un DD externe, afin ensuite de formater mon disque système et de tout réinstaller.
Cela permettra d'ailleurs (je l'espère) de supprimer les virus.
Mais mes documents sont-ils altérés par le (les ?) virus, et peuvent-ils contaminer ce nouveau système ?


Merci encore des conseils que vous avez pu me donner

hubertaaz · Answer

Bonjour,  

Dommage de ne pas avoir suivi les instructions de mon poste précédent, ça aurait permis de supprimer les infections détectées hormis le problème du MBR.  

* Concernant le MBR, une documentation intéressante ici : http://lanceyien.info/Forum/index.php?topic=1151.0  


* Je te conseille d'utiliser UsbFix comme mentionné plus haut car non seulement il éliminera l'infection par supports externes présente mais de plus il vaccinera tes supports USB contre une nouvelle contamination.  

Si tu comptes formater certains supports USB externes, il est préférable de passer UsbFix option vaccination après le formatage.   

* Il sera aussi intéressant de brancher tes supports USB externes et d'analyser leur contenu avec ton antivirus (clic droit su l'icône) ou un antivirus en ligne tel Kaspersky.  

* Vu que tu envisages de formater, je ne vois pas l'utilité de repasser un logiciel de diagnostic mais le passage de ZHPFix, avec les suppressions mentionnées comme indiqué dans mon poste précédent, ne me paraît pas superflu si tu utilises encore le pc avant le formatage. 
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.   
(Proverbe chinois)

tikikill · Answer

J'ai tenté d'utiliser UsbFix, mais une fois sur 2 il s'auto-termine en tuant tous les processus (sachant en plus que explorer.exe se relance automatiquement dès qu'un programme le ferme)
Les rares fois où il se lance, il n'y a pas de changements : en utilisant l'option "rapport", il me dit toujours que mes disques Usb n'ont pas étés vaccinés...

Mais je vais tout de même retenter aujourd'hui

Session brouillée et inut. après 5sec

24 réponses

Discussions similaires

Newsletters