Session brouillée et inut. après 5sec

Résolu
Tikiki -  
hubertaaz Messages postés 9007 Statut Contributeur sécurité -
Bonjour,

Depuis maintenant 1 mois et demi, ma session windows se brouille environ 5 secondes après m'être connecté. Des lignes verticales ondulées vertes ou bleues apparaissent, la souris devient une sorte de gros carré, et tout l'écran est ensuite freezé sans autre possibilité que le "reset" violent et sans merci...
Cela ne se produit en revanche pas sur les autres sessions.
C'est d'autant plus embêtant que j'avais activé la protection des documents privés (ou quelque chose comme ça...), et que je suis donc obligé de passer sous Linux pour récupérer mes documents.

J'ai fait une vidéo que vous trouverez au lien suivant :
https://www.youtube.com/watch?v=4ywPX8E8Qmk

Merci d'avance pour votre aide.

24 réponses

  • 1
  • 2
  1. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
     
    Bonjour,

    As-tu essayé de démarrer en "Mode sans échec" afin de voir si le problème est identique?

    Si le problème ne se produit pas en mode sans échec, tu peux éventuellement opter pour la "dernière bonne configuration connue" ou une "restauration système" si tu as un point de restauration de l'époque du problème.
    0
  2. Tikiki
     
    Bonjour.

    J'ai effectivement tenté en mode sans échec, mais comme après plus de 5 minutes mon bureau ne s'affichait pas, ...
    Je pouvait accéder au gestionnaire des tâches, mais pas d'icônes, pas de barre des tâches...

    Et je ne vois pas pourquoi sur une session cela fonctionnerait, et pas sur l'autre.

    Merci pour cette réponse rapide
    0
  3. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
     
    Je penche plutôt pour une infection.

    Je suppose que tu peux installer un logiciel de diagnostic au départ d'une autre session?

    Si c'est le cas, je te recommande de procéder comme suit :

    * Télécharge ZHPDiag (de Nicolas Coolman)
    * Une fois le téléchargement achevé, double clique sur ZHPDiag.exe (clic droit ,"exécuter en tant qu'administrateur" pour Vista).
    * Une fois installé le programme s'ouvre automatiquement.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.
    0
  4. Tikiki
     
    Merci

    Je m'y attelle dès que je rentre chez moi (mais la réponse ne viendra pas tout de suite...)
    0
    1. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      OK,

      Pas de problème, c'est quand tu peux ;-)

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tikiki
     
    Bonsoir.

    Voilà, le fichier est envoyé.
    J'ai laissé les options par défaut et lancé le scan normal.

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijHimeVxG.txt
    0
  7. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
     
    Bonjour,

    Désolé de ne pas avoir répondu plus tôt mais hier j'ai dû m'absenter à 21H.

    Il y a en effet plusieurs infections.

    Fais ce qui suit dans l'ordre :

    1-* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)

    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Ferme toutes applications en cours /!\

    /!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-Remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )

    2-* Télécharge GMER :
    http://www2.gmer.net/gmer.zip

    * Dézipper le programme.
    * Double cliquer sur Gmer.exe
    * Le programme se lance et fait un auto scan
    (il s'agit de l'onglet : Rootkit/Malware).

    => Des lignes rouges doivent apparaître en cas d'infection :

    * sur ces lignes rouges:
    o Services: Clique droit puis delete service
    o Process: Clique droit puis kill process
    o Adl, file: Clique droit puis delete files

    Tuto : https://www.malekal.com/tutorial-gmer/

    3-* MBAM (Malwarebytes anti malwares) est installé sur ton PC.

    * Mets le à jour et assure-toi que la version de la base de données soit la 4737 ou plus.

    ! Déconnecte toi et ferme toutes applications en cours !

    --> Fais un examen dit "Complet" .

    --> Laisse le programme travailler (et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    * NB: pour ces rapports, un copier/coller devrait suffire.
    Pour cela, poste-les un à la fois.

    @+
    0
  8. Tikiki
     
    Ouch, rien que ça ...

    Bon ben, au boulot...

    Par contre, comment je lance MBAM sans être connecté ?
    0
    1. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      Salut,

      Pour MBAM, c'est dernier lieu, en espérant que les 2 Fix auront fait tout le boulot.
      NB : ce scan sera très long.

      Après la mise à jour où il faut bien sûr être connecté au web, pour le scan ce n'est pas nécessaire et même déconseillé! Il faut aussi laisser le PC au repos pendant le scan.

      Bonne fin de soirée.

      Je viens aux nouvelles demain matin.
      0
  9. tikikill Messages postés 21 Statut Membre
     
    Bonsoir.
    De retour après une longue absence...

    Voili voilou : nettoyage avec ad-remover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 16/09/10 à 13:30
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 22:57:06 le 04/10/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Oriane@GEEK-COMPUTER ( )

    ============== ACTION(S) ==============

    3,Fichier supprimé: C:\WINDOWS\system32\f_jCmthKrsu_.exe
    0,Dossier supprimé: C:\Program Files\RelevantKnowledge

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\Interface\{46746D20-5181-11CF-BE90-99AECC0C381F}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{FC2C9F12-26A2-11CF-A641-E996DF2C9318}
    3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\f_jCmthKrsu_
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [4.0b5 (fr)] **

    -- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Oriane\\Mes documents\\Téléchargements
    browser.startup.homepage_override.buildID, 20100831070808
    browser.startup.homepage_override.mstone, rv:2.0b5

    -- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
    browser.startup.homepage_override.buildID, 20100831070808
    browser.startup.homepage_override.mstone, rv:2.0b5

    ========================================
    0
  10. tikikill Messages postés 21 Statut Membre
     
    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 29 Fichier(s)
    0
  11. tikikill Messages postés 21 Statut Membre
     
    Scan après redémarrage avec ad-remover :

    [......]

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [4.0b5 (fr)] **

    -- C:\Documents and Settings\Oriane\Application Data\Mozilla\FireFox\Profiles\zaegkn60.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Oriane\\Mes documents\\Téléchargements
    browser.startup.homepage_override.buildID, 20100831070808
    browser.startup.homepage_override.mstone, rv:2.0b5

    -- C:\Documents and Settings\Frans\Application Data\Mozilla\FireFox\Profiles\w7bqnx5x.default\Prefs.js --
    browser.startup.homepage_override.buildID, 20100831070808
    browser.startup.homepage_override.mstone, rv:2.0b5

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 30 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 04/10/2010 (430 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 04/10/2010 (432 Octet(s))
    C:\Ad-Report-CLEAN[3].txt - 05/10/2010 (3109 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 04/10/2010 (2604 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 04/10/2010 (2773 Octet(s))
    C:\Ad-Report-SCAN[3].txt - 05/10/2010 (431 Octet(s))

    Fin à: 07:16:49, 05/10/2010

    ============== E.O.F ==============
    0
  12. tikikill Messages postés 21 Statut Membre
     
    Puis scan avec Gmer :

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit quick scan 2010-10-05 19:03:40
    Windows 5.1.2600 Service Pack 3
    Running: gmer.exe; Driver: C:\DOCUME~1\Oriane\LOCALS~1\Temp\awrcraog.sys

    ---- System - GMER 1.0.15 ----

    SSDT spqo.sys ZwEnumerateKey [0xF7734DA4]
    SSDT spqo.sys ZwEnumerateValueKey [0xF7735132]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xF2CA3BAE]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xF2CA39D2]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xF2CA3B0C]
    Code F7F2CC9C ZwRequestPort
    Code F7F2CD3C ZwRequestWaitReplyPort
    Code F7F2CBFC ZwTraceEvent
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
    Code F7F2CC9B NtRequestPort
    Code F7F2CD3B NtRequestWaitReplyPort
    Code F7F2CBFB NtTraceEvent
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
    Device \FileSystem\Ntfs \Ntfs 867D81F8

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
    AttachedDevice \Driver\Tcpip \Device\Ip ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
    AttachedDevice \Driver\Tcpip \Device\Tcp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
    AttachedDevice \Driver\Tcpip \Device\Udp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
    AttachedDevice \Driver\Tcpip \Device\RawIp ts_lb.sys (CommView Loopback Driver 2000/XP/2003 (Intel, 32-bit)/TamoSoft)
    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    ---- EOF - GMER 1.0.15 ----
    0
    1. tikikill Messages postés 21 Statut Membre
       
      Pas de ligne rouge avec Gmer (pourquoi ?)
      0
  13. tikikill Messages postés 21 Statut Membre
     
    Enfin scan avec MBAM :

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    06/10/2010 21:18:09
    mbam-log-2010-10-06 (21-18-09).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 619037
    Temps écoulé: 7 heure(s), 17 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 35

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108580.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\f_jCmthKrsu_.exe.vir (Adware.Adrotator) -> Quarantined and deleted successfully.
    D:\Mes Documents\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
    D:\Session Tikiki buggée\Downloads\Programs\Setup_2.exe (Adware.Agent) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108587.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108585.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108583.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108584.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlls64.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5E8D94DD-1147-40D8-8C81-4A94D9975108}\RP285\A0108586.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\RelevantKnowledge\rlvknlg64.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    D:\Session Tikiki buggée\Downloads\Compressed\TuneUp_Utilities_2008_7.0.8007_Incl_KeyGen-ZWT-www.wareznet.net\TuneUp Utilities 2008 7.0.8007\KeyGen\KeyGen.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\T0rR3nts\Download Crack & Serial Downloader\CrackDown.exe (CrackTool.Agent) -> Quarantined and deleted successfully.
    0
  14. tikikill Messages postés 21 Statut Membre
     
    (suite)

    C:\Documents and Settings\Tikiki le geek\Bureau\Docs\brutus\BrutusA2.exe (HackTool.Brutus) -> Quarantined and deleted successfully.
    D:\Mes Documents\Downloads\Compressed\RAM_Booster_1.30\RAM Booster 1.30\Crack\RAMBooster.exe (Malware.Packer) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Clé avant WinPassCrack\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    C:\Downloads\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Instantanés\11-04-2010\Bazar\Utilitaires\IDM.v5.18.7.Incl.Crack\Patch 5.xx(2009-07-10).exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United\GameData\Garage\Media\Texture\Image\GarageGround2.tga (Spyware.Onlinegames) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\homepage.txt (Stolen.Data) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\crd.exe (TheftMarker.Crude) -> Quarantined and deleted successfully.
    C:\Program Files\TrackMania United\tmunite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania United\dl - TM - 4all\TrackMania United\tmunite.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Rentree echange sauzay\Raxco.PerfectSpeed.PC.Optimizer.v2.0.0.106.WinAll.Incl.Keygen-CRD\kg.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Docs\Vmwarekeygen\Vmwarekeygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Fichiers à copier\Compressé\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    D:\Mes Documents\Downloads\Programs\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Trackmania United-Sunrise\Trackmania Sunrise\Trackmania_Sunrise_janu123_www.dl4all.com\Trackmania Sunrise Extreme\Crack\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Desktop\Linux\Clé U3\Documents\Downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Tikiki le geek\Bureau\Raccourcis Bureau non utilisés\BG&E\Beyond_Good_and_Evil_v1.1_+_18_Trainer\Beyond Good & Evil v1.1 + 18 Trainer.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
    D:\Mes Documents\e-anim\jre1.6.0_03\bin\javaw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  15. tikikill Messages postés 21 Statut Membre
     
    Malheureusement, après avoir regardé toutes ces barres vertes qui se remplissent petit à petit (le grand hobby des geeks...), un redémarrage, je tente de me connecter à ma session.

    Je n'ai même pas eu d'icônes sur le bureau ! En revanche, la souris bougeait encore après quelques secondes.

    Je voudrais bien savoir quel est ce virus qui ne bloque qu'une session, sans toucher aux documents ?

    Merci pour tout le temps que tu m'accordes.
    0
  16. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
     
    Bonjour,

    *Dommage d'avoir attendu aussi longtemps car vu le nombre de fichiers infectés voire le secteur de boot (MBR) c'était plutôt urgent. D'autant que des infections rendent le PC plus vulnérable pour d'autres infections.

    * Tu me demandes pourquoi pas de ligne rouge avec Gmer
    En fait il y a un reste d'infection Rootkit que traite normalement Gmer. Comme il ne l'a pas fait nous le ferons différemment.

    * En réponse à la question : quel est le virus qui produit le problème? Je répondrais qu'il n'y a pas qu'un seul malware. Par ailleurs les cracks et les Keygen sont réputés pour être excellents vecteurs d'infections.

    Je pense aussi qu'il est possible que l'infection du MBR soit responsable.

    Voici la suite :

    * Lancez MBRCheck qui se trouve sur le bureau (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
    * Si vous avez ceci :

    Found non-standard or infected MBR.

    Enter 'Y' and hit ENTER for more options, or 'N' to exit:

    Tapez la lettre Y puis validez avec la touche [Entrée]

    * Ensuite, vous aurez ceci :

    Options:

    [1] Dump the MBR of a physical disk to file.

    [2] Restore the MBR of a physical disk with a standard boot code.

    [3] Exit.

    Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]

    * Ensuite, vous verrez ceci :

    Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

    Tapez le chiffre 0 puis valide avec [Entrée]

    * Vous aurez maintenant un choix à faire, avec des codes de MBR :

    Available MBR codes:

    [ 0] Default (Windows XP)

    [ 1] Windows XP

    [ 2] Windows Server 2003

    [ 3] Windows Vista

    [ 4] Windows 2008

    [ 5] Windows 7

    [-1] Cancel

    Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]

    * Ensuite, vous aurez ceci :

    Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

    tapez YES puis valide avec [Entrée]

    * En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :

    Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
    ...suivi de "Please reboot your computer to complete the fix."

    Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 5 minutes. Après les 5 minutes, démarre la machine normalement, puis viens nous coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).

    * Enfin relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.
    0
  17. tikikill Messages postés 21 Statut Membre
     
    Oups...

    En fait j'ai un multi boot Ubuntu-Windows grâce à GRUB...

    Je fais quoi ?
    0
    1. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      Aucune idée pour l'instant car je ne connais pas bien le multi boot Ubuntu.

      Je dois m'informer!

      Une définition de ce qu'est précisément le MBR : https://forum.pcastuces.com/default.asp

      Ce type d'infection permet de capter des mots de passe comme tu peux le voir ici : https://www.commentcamarche.net/faq/25171-infection-sinowal-mebroot-rootkit-mbr-bootkit
      0
    2. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      J'ai lu ce qui suit :" le logiciel GAG te permet d'installer le Grub dans le secteur boot de partition et non dans le MBR. GAG lui s'installe dans le mbr mais tu peux aussi l'installer sur un media bootable. Sans la clef/disque le système bootera alors sous windows et avec tu auras le menu
      multiboot."


      Le Grub est-il dans le MBR ou dans le secteur boot de partition sur ton PC?
      0
    3. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      J'ai trouvé l'information suivante : "Réparer le MBR
      Windows XP : utiliser la commande fixmbr depuis la console de récupération.
      Windows Vista : utiliser la commande bootrec /FixMbr depuis la console de récupération.
      Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot."


      Source : http://assiste.com.free.fr/p/virus/virus_de_boot.html
      0
    4. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
       
      Pourrais-tu me poster le rapport MBRCheck qui se trouve sur le bureau svp?
      0
  18. tikikill Messages postés 21 Statut Membre
     
    MBRCheck, version 1.2.3
    (c) 2010, AD

    Command-line:
    Windows Version: Windows XP Home Edition
    Windows Information: Service Pack 3 (build 2600)
    Logical Drives Mask: 0x0000007c

    Kernel Drivers (total 132):
    0x804D7000 \WINDOWS\system32\ntoskrnl.exe
    0x806EF000 \WINDOWS\system32\hal.dll
    0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
    0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
    0xF782F000 vdmfse.sys
    0xF771B000 spxm.sys
    0xF7D31000 \WINDOWS\System32\Drivers\WMILIB.SYS
    0xF7703000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
    0xF76D4000 ACPI.sys
    0xF76C3000 pci.sys
    0xF783F000 isapnp.sys
    0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    0xF784F000 MountMgr.sys
    0xF76A4000 ftdisk.sys
    0xF7AB7000 PartMgr.sys
    0xF7ABF000 videX32.sys
    0xF785F000 ViBus.sys
    0xF786F000 sfsync02.sys
    0xF787F000 VolSnap.sys
    0xF768C000 atapi.sys
    0xF788F000 ViPrt.sys
    0xF789F000 disk.sys
    0xF78AF000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    0xF766C000 fltMgr.sys
    0xF765A000 sr.sys
    0xF7643000 KSecDD.sys
    0xF75B6000 Ntfs.sys
    0xF7589000 NDIS.sys
    0xF7AC7000 viaagp1.sys
    0xF7576000 sfvfs02.sys
    0xF7ACF000 sfhlp02.sys
    0xF7564000 sfdrv01.sys
    0xF754A000 Mup.sys
    0xF79CF000 \SystemRoot\system32\DRIVERS\intelppm.sys
    0xF5893000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
    0xF587F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys
    0xF79EF000 \SystemRoot\system32\DRIVERS\redbook.sys
    0xF585C000 \SystemRoot\system32\DRIVERS\ks.sys
    0xF7C2F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
    0xF5838000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
    0xF7C37000 \SystemRoot\system32\DRIVERS\usbehci.sys
    0xF7AEF000 \SystemRoot\system32\DRIVERS\fdc.sys
    0xF5824000 \SystemRoot\system32\DRIVERS\parport.sys
    0xF79FF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
    0xF7AF7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
    0xF7AFF000 \SystemRoot\system32\DRIVERS\mouclass.sys
    0xF5813000 \SystemRoot\system32\DRIVERS\serial.sys
    0xF7CDB000 \SystemRoot\system32\DRIVERS\serenum.sys
    0xF7A0F000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
    0xF57DA000 \SystemRoot\System32\Drivers\axito8c6.SYS
    0xF57B2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
    0xF7E9F000 \SystemRoot\system32\DRIVERS\audstub.sys
    0xF7A6F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
    0xF62F5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
    0xF579B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
    0xF7A7F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
    0xF7A8F000 \SystemRoot\system32\DRIVERS\raspptp.sys
    0xF7B77000 \SystemRoot\system32\DRIVERS\TDI.SYS
    0xF578A000 \SystemRoot\system32\DRIVERS\psched.sys
    0xF7A9F000 \SystemRoot\system32\DRIVERS\msgpc.sys
    0xF7B7F000 \SystemRoot\system32\DRIVERS\ptilink.sys
    0xF7B8F000 \SystemRoot\system32\DRIVERS\raspti.sys
    0xF7B97000 \SystemRoot\system32\DRIVERS\teamviewervpn.sys
    0xF78BF000 \SystemRoot\system32\DRIVERS\termdd.sys
    0xF7D97000 \SystemRoot\system32\DRIVERS\swenum.sys
    0xF572C000 \SystemRoot\system32\DRIVERS\update.sys
    0xF62E1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
    0
  19. tikikill Messages postés 21 Statut Membre
     
    0xF7B9F000 \SystemRoot\system32\DRIVERS\nvoclock.sys
    0xF52C0000 \SystemRoot\system32\drivers\RtkHDAud.sys
    0xF529C000 \SystemRoot\system32\drivers\portcls.sys
    0xF78CF000 \SystemRoot\system32\drivers\drmk.sys
    0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS
    0xF791F000 \SystemRoot\system32\DRIVERS\usbhub.sys
    0xF7DA3000 \SystemRoot\system32\DRIVERS\USBD.SYS
    0xF7DAD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
    0xF7F45000 \SystemRoot\System32\Drivers\Null.SYS
    0xF7DAF000 \SystemRoot\System32\Drivers\Beep.SYS
    0xF7BCF000 \SystemRoot\System32\drivers\vga.sys
    0xF7DB1000 \SystemRoot\System32\Drivers\mnmdd.SYS
    0xF7DB3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
    0xF7BD7000 \SystemRoot\System32\Drivers\Msfs.SYS
    0xF7BDF000 \SystemRoot\System32\Drivers\Npfs.SYS
    0xF7CDF000 \SystemRoot\system32\DRIVERS\rasacd.sys
    0xF3119000 \SystemRoot\system32\DRIVERS\ipsec.sys
    0xF30C0000 \SystemRoot\system32\DRIVERS\tcpip.sys
    0xF6B8C000 \SystemRoot\System32\Drivers\aswTdi.SYS
    0xF30AE000 \SystemRoot\system32\drivers\ts_lb.sys
    0xF3086000 \SystemRoot\system32\DRIVERS\netbt.sys
    0xF7CEB000 \SystemRoot\System32\drivers\ws2ifsl.sys
    0xF3064000 \SystemRoot\System32\drivers\afd.sys
    0xF6B7C000 \SystemRoot\system32\DRIVERS\netbios.sys
    0xF302D000 \SystemRoot\System32\drivers\truecrypt.sys
    0xF3007000 \SystemRoot\system32\DRIVERS\ipnat.sys
    0xF6B6C000 \SystemRoot\system32\DRIVERS\wanarp.sys
    0xF2FDC000 \SystemRoot\system32\DRIVERS\rdbss.sys
    0xF2F44000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
    0xF6B4C000 \SystemRoot\System32\Drivers\Fips.SYS
    0xF2F1D000 \SystemRoot\System32\Drivers\aswSP.SYS
    0xF7BEF000 \SystemRoot\System32\Drivers\Aavmker4.SYS
    0xF6B1C000 \SystemRoot\System32\Drivers\Cdfs.SYS
    0xBF800000 \SystemRoot\System32\win32k.sys
    0xF7522000 \SystemRoot\System32\drivers\Dxapi.sys
    0xF7BFF000 \SystemRoot\System32\watchdog.sys
    0xBD000000 \SystemRoot\System32\drivers\dxg.sys
    0xF7E49000 \SystemRoot\System32\drivers\dxgthk.sys
    0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
    0xF7526000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
    0xF2BE6000 \??\D:\Program Files\Sandboxie\SbieDrv.sys
    0xF2B7F000 \SystemRoot\System32\Drivers\aswMon2.SYS
    0xF29C2000 \SystemRoot\system32\DRIVERS\mrxdav.sys
    0xF7DA9000 \SystemRoot\System32\Drivers\ParVdm.SYS
    0xF7DAB000 \SystemRoot\System32\Drivers\TBPanel.SYS
    0xF2A3F000 \??\C:\WINDOWS\system32\drivers\CdaC15BA.SYS
    0xF7BBF000 \SystemRoot\system32\drivers\npf.sys
    0xF282B000 \SystemRoot\system32\DRIVERS\srv.sys
    0xF7BF7000 \SystemRoot\System32\Drivers\aswRdr.SYS
    0xF2316000 \SystemRoot\system32\drivers\wdmaud.sys
    0xF26AB000 \SystemRoot\system32\drivers\sysaudio.sys
    0xF20A5000 \SystemRoot\System32\Drivers\HTTP.sys
    0xF1EBD000 \SystemRoot\system32\DRIVERS\secdrv.sys
    0xF7DDF000 \SystemRoot\System32\Drivers\hiber_WMILIB.SYS
    0xBD012000 \SystemRoot\System32\nv4_disp.dll
    0xEB161000 \SystemRoot\system32\DRIVERS\ewusbmdm.sys
    0xF260F000 \SystemRoot\system32\DRIVERS\asyncmac.sys
    0xEB8FF000 \SystemRoot\System32\Drivers\Fastfat.SYS
    0xF7C17000 \SystemRoot\system32\DRIVERS\usbccgp.sys
    0xF7B5F000 \SystemRoot\System32\Drivers\Modem.SYS
    0xEB08C000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
    0xEB12E000 \SystemRoot\system32\drivers\kmixer.sys
    0x7C910000 \WINDOWS\system32\ntdll.dll
    0x10000000 \Program Files\DAEMON Tools Lite\Engine.dll

    Processes (total 46):
    0 System Idle Process
    4 System
    800 C:\WINDOWS\system32\smss.exe
    956 csrss.exe
    984 C:\WINDOWS\system32\winlogon.exe
    1076 C:\WINDOWS\system32\services.exe
    1088 C:\WINDOWS\system32\lsass.exe
    1268 C:\WINDOWS\system32\nvsvc32.exe
    1412 C:\WINDOWS\system32\svchost.exe
    1524 svchost.exe
    1604 D:\Program Files\Sandboxie\SbieSvc.exe
    1616 C:\WINDOWS\system32\svchost.exe
    1772 svchost.exe
    1916 svchost.exe
    1972 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    600 C:\WINDOWS\system32\spoolsv.exe
    676 svchost.exe
    716 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    772 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    832 C:\WINDOWS\system32\cisvc.exe
    908 C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe
    996 C:\Program Files\Java\jre6\bin\jqs.exe
    1040 C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    1376 D:\Program Files\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
    1512 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    1736 C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe
    1824 C:\WINDOWS\system32\searchindexer.exe
    2316 alg.exe
    2796 C:\WINDOWS\explorer.exe
    3740 C:\WINDOWS\TBPanel.exe
    3800 C:\WINDOWS\RTHDCPL.exe
    4032 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
    2080 C:\WINDOWS\system32\rundll32.exe
    2252 C:\WINDOWS\system32\ctfmon.exe
    2268 C:\WINDOWS\system32\rundll32.exe
    3208 C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
    3976 C:\WINDOWS\system32\wscntfy.exe
    2260 C:\WINDOWS\system32\cidaemon.exe
    1156 C:\Program Files\Internet Download Manager\IEMonitor.exe
    1448 C:\Program Files\kit bouygtel\kit bouygtel.exe
    3624 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyMenu\LiberKeyMenu.exe
    3376 D:\Program Files\LiberKey\LiberKeyTools\LiberKeyPortabilizer\LiberKeyPortabilizer.exe
    1172 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2044 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2192 D:\Program Files\LiberKey\Apps\Chrome\App\Chrome\chrome.exe
    2008 C:\Program Files\ZHPDiag\mbrcheck.exe

    \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
    \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000030'd3cbae00 (NTFS)

    PhysicalDrive0 Model Number: WDCWD4000AAKB-00YSA0, Rev: 12.01C02

    Size Device Name MBR Status
    --------------------------------------------
    372 GB \\.\PhysicalDrive0 Unknown MBR code
    SHA1: A2807BA7FD4C206EFECA81EE5D8474BD4DCD1035

    Found non-standard or infected MBR.
    Enter 'Y' and hit ENTER for more options, or 'N' to exit:

    Done!
    0
  20. hubertaaz Messages postés 9007 Statut Contributeur sécurité 1 631
     
    Ok,

    Renseignement pris, merci à gen-hackman, il est préférable de ne pas corriger le MBR dans le cas présent.

    On va refaire un état des lieux :

    Relance ZHPDiag et poste moi le lien vers le nouveau rapport comme tu l'as fait précédemment.
    0
  21. tikikill Messages postés 21 Statut Membre
     
    Voilà c'est fait :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijb9SyUWr.txt
    0
  • 1
  • 2