PC redémarre tout seul pendant tous les scans Fermé

Question

Bonjour, 

Mon pc a été infecté par le virus "Security Tool" hier.  Nous avons téléchargé RogueKiller.exe, afin de l'enlever.

Ensuite, les forums lus sur Internet nous conseillent de désinfecter définitivement la machine en roulant Antimalware, ce que nous avons fait.  Nous avons fait la mise à jour en premier.  Par contre, pendant le scan, l'ordi redémarre à chaque fois, et un avertissement d'erreur grave nous apparaît lors le pc est redémarré.

J'ai essayé de scanner en ligne avec BitDefender, et ça ne fonctionne pas du tout, l'outil dit qu'il est impossible de faire l'analyse (j'ai bien utilisé Internet Explorer 7 pour la faire).

J'ai installé Kaspersky PURE, mais encore là, même chose, l'ordi redémarre toujours pendant l'analyse.

Honnêtement, je suis perdue, je sais plus du tout quoi faire...  

Configuration: Windows XP / Internet Explorer 7.0

benurrr · Answer

salut

a tu essayer en mode sans échec ?

mhoude · Answer

oui, mais le mode sans échec ne fonctionne pas non plus.  Avant même que Windows puisse s'ouvrir, l'ordi s'est encore redémarrer par lui-même.

benurrr · Answer

le redémarrage se fait au bout de combien de temps pour malwarbyte ?

mhoude · Answer

ça varie d'une fois à l'autre, une fois il n'a pas du tout été capable d'analyser quoi que ce soit, une autre fois il a analysé pendant une vingtaine de minutes avant de redémarrer.

benurrr · Answer

Telecharge combofix :
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Choisir : "Enregistrer la cible du lien sous..."
    * Choisir le Bureau comme destination.
    * Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    * Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace. 

 Note importante :Si tu est sous Vista

la désactivation du Contrôle des comptes utilisateurs est obligatoire

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) 

-> Double clique combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

-Attention  Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet) 

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte

mhoude · Answer

Bon, et bien ça semble avoir réussi.  Voici le contenu de C:\Combofix.txt :

ComboFix 10-11-14.01 - Owner 2010-11-14  21:34:59.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.2.1036.18.1021.521 [GMT -5:00]
Lancé depuis: c:\documents and settings\Owner\Bureau\ccm.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Owner\Application Data\chkntfs.dat
c:\documents and settings\Owner\Application Data\inst.exe
c:\documents and settings\Owner\GoToAssistDownloadHelper.exe
c:\program files\INSTALL.LOG
c:\windows\system32\GoogleDesktopSearchSetup.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-15 au 2010-11-15  ))))))))))))))))))))))))))))))))))))
.

2010-11-14 16:48 . 2009-12-14 17:44	39352	----a-w-	c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2010-11-14 16:48 . 2009-12-14 17:44	88632	----a-w-	c:\windows\system32\drivers\CSCrySec.sys
2010-11-14 16:47 . 2010-11-14 22:12	--------	d-----w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-11-14 16:30 . 2010-11-14 16:33	--------	d-----w-	c:\windows\BDOSCAN8
2010-10-31 16:56 . 2009-08-12 01:18	497664	----a-w-	c:\windows\system32\ac3filter.acm
2010-10-31 16:56 . 2010-10-31 16:56	--------	d-----w-	c:\program files\AC3Filter
2010-10-19 01:53 . 2010-10-19 01:53	--------	d-----w-	c:\program files\iPod
2010-10-19 01:48 . 2010-10-19 01:48	--------	d-----w-	c:\program files\Bonjour
2010-10-17 15:04 . 2010-10-17 15:04	--------	d-----w-	C:\TDSSKiller_Quarantine
2010-10-17 02:22 . 2010-10-17 02:22	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2010-10-16 23:01 . 2010-10-16 23:01	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-10-16 23:01 . 2010-10-19 01:50	--------	d-----w-	c:\program files\QuickTime
2010-10-16 22:56 . 2010-10-16 22:56	--------	d-----w-	c:\program files\Infogrames Interactive
2010-10-16 15:59 . 2010-10-16 15:59	--------	d-----w-	c:\documents and settings\All Users\Application Data\Common Files
2010-10-16 15:57 . 2010-10-16 22:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\AVG10
2010-10-16 15:57 . 2010-10-16 22:24	--------	d-----w-	c:\windows\system32\drivers\AVG
2010-10-16 15:56 . 2010-10-16 15:56	--------	d-----w-	c:\program files\AVG
2010-10-16 15:52 . 2010-10-16 22:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\MFAData

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-14 22:39 . 2006-04-30 18:22	94208	----a-w-	c:\windows\DUMP2710.tmp
2010-09-18 16:23 . 2005-08-19 20:49	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2005-08-19 20:49	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2005-08-19 20:49	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2005-08-19 20:49	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2005-08-19 20:49	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2005-08-19 20:49	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2005-08-19 20:49	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-08 15:17 . 2010-09-08 15:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 15:17 . 2010-09-08 15:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-01 11:51 . 2005-08-19 20:49	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2005-08-19 20:49	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2005-08-19 20:49	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 05:58 . 2005-08-19 20:49	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 11:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2005-08-19 20:49	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2005-08-19 20:49	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-22 21:25 . 2010-08-23 21:48	397312	------w-	c:\windows\system32\fppmon4.dll
2010-08-22 21:22 . 2010-08-23 21:48	327680	------w-	c:\windows\system32\fppr432.dll
2010-08-17 13:17 . 2005-08-19 20:49	58880	----a-w-	c:\windows\system32\spoolsv.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Owner\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-04 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-06 64512]
"readericon"="c:\program files\Digital Media Readereadericon45G.exe" [2005-08-27 139264]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-14 212992]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"BellCanada_McciTrayApp"="c:\program files\BellCanada\McciTrayApp.exe" [2008-05-28 1468928]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-09 148888]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-14 50472]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-03-30 75048]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-5 110592]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2004-6-16 323646]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2004-6-16 28672]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-3-3 809488]
Moniteur de ressources Extender.lnk - c:\windows\ehome\RMSysTry.exe [2005-10-20 18432]
Recherche sur le bureau de Windows.lnk - c:\program files\MSN Toolbar Suite\DS\02.05.0000.1082\fr-ca\bin\WindowsSearch.exe [2005-6-15 238080]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\LBTWlgn]
2008-11-07 21:41	72208	----a-w-	c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\klmdb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\StubInstaller.exe"=
"c:\Program Files\mIRC\mirc.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Java\jdk1.6.0\bin\java.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Soulseek\slsk.exe"=
"c:\Program Files\Azureus\Azureus.exe"=
"c:\Program Files\Windows Media Player\wmplayer.exe"=
"c:\Documents and Settings\Owner\Local Settings\Application Data\Google\Chrome\Application\chrome.exe"=
"c:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=
"c:\Program Files\CyberLink\PowerDVD9\PowerDVD Cinema\PowerDVDCinema.exe"=
"c:\Program Files\CyberLink\PowerDVD9\PowerDVD9.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3776:UDP"= 3776:UDP:Service de Media Center Extender
"3390:TCP"= 3390:TCP:Services Media Center à distance

R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/05/23 22:57];c:\program files\CyberLink\PowerDVD9\000.fcl [2009-03-30 16:53 87536]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-27 135336]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2009-03-03 10384]
S0 klmdb;klmdb;c:\windows\system32\drivers\klmdb.sys --> c:\windows\system32\drivers\klmdb.sys [?]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 136176]
S3 AIDA32Driver;AIDA32Driver; [x]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-03-21 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
QWAVE	REG_MULTI_SZ   	QWAVE
.
Contenu du dossier 'Tâches planifiées'

2010-11-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:50]

2006-09-24 c:\windows\Tasks\FRU Task 2004-06-17 01:06ewlett-Packard2004-06-17 01:06p psc 2170 seriesD66655067F78228D3716D2BFC2C61DA319188DBF149534361.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2004-06-16 22:06]

2010-11-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 22:42]

2010-11-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 22:42]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2895512858-3417739043-1293902553-1006Core.job
- c:\documents and settings\Owner\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-04 22:26]

2010-11-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2895512858-3417739043-1293902553-1006UA.job
- c:\documents and settings\Owner\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-04 22:26]

2006-04-30 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-19 02:34]

2006-04-30 c:\windows\Tasks\Rappel d'abonnement 2 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-19 02:34]

2006-04-30 c:\windows\Tasks\Rappel d'abonnement 3 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-19 02:34]

2010-11-15 c:\windows\Tasks\User_Feed_Synchronization-{63B77CE1-1EE3-430E-A656-B754B6D65357}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 08:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = www.google.ca/ig?hl=fr
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-SNM - c:\program files\SpyNoMore\SNM.exe
AddRemove-BitTorrent DNA - c:\program files\DNA\btdna.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-14 21:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
.
Heure de fin: 2010-11-14  21:45:06
ComboFix-quarantined-files.txt  2010-11-15 02:45

Avant-CF: 62 349 815 808 octets libres
Après-CF: 62 889 943 040 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 94F407CFF88FE0DB09F113045B5A99B0

mhoude · Answer

J'ai eu beaucoup de difficulté à le faire, puisque j'avais même perdu mon accès à Internet...  Enfin.  Je vais tenter de faire un scan, voir si tout est ok.

benurrr · Answer

okk

mhoude · Answer

Euh, non, ça marche toujours pas, lorsque je tente de faire un quelconque scan de mon pc, ça plante...  J'ai tenté de faire une vérification de mon disque dur avec Windows, et ça marche pas plus.  La vérification des données de fichier a gelé à 80% pendant 6 heures.

Mais bon, ça roule bien quand je ne tente pas de faire de scan..  Une idée de la raison pour laquelle ça fait ça?

benurrr · Answer

salut

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

mhoude · Answer

Merci beaucoup! 

Voici le lien: 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijD6blvtg.txt 

J'ai vraiment essayé plein de différents antivirus, j'ai essayé de faire une restauration à une date antérieure de mon système, et ça marche pas plus.  Même en mode sans échec, que j'ai finalement été capable d'ouvrir, ça redémarre à chaque analyse, presque toujours au 3/4 de la progession.

benurrr · Answer

Salut,  
   
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 

* Rends toi sur cette page,  

http://www.gmer.net/ 

et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection) 

* Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur) 
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente. 
    *  Des lignes rouges doivent apparaître en cas d'infection : 
          o Sur ces lignes rouges: 
                + Services: Clic-droit puis delete service 
                + Process: Clic-droit puis kill process 
                + Adl, file: Clic-droit puis delete files  

Comment savoir s'il s'agit d'un rootkit ? 

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge. 

A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes : 

    * .dat 
    * .exe 
    * _nav.dat 
    * _navps.dat 
    * .sys 

* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt 
* Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,  
Mais C.. de penser que ­tu es libre...Merci a australe13

mhoude · Answer

Me rendre sur quelle page?  Je ne vois pas de lien..

mhoude · Answer

Non, c'est beau, j'ai trouvé par le nom du logiciel.

benurrr · Answer

oupss

http://www.gmer.net/

mhoude · Answer

J'avais bien désactivé mon système de protection, et j'ai fait le scan, mais aucune ligne rouge n'est apparue dans le rapport.

voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201011/cijQMqJPlV.txt

est-ce que je devrais recommencer?

benurrr · Answer

1) Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares)
Relance mbr.exe


Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

mhoude · Answer

Non, aucune infection n'a été détectée.


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HDT72252 rev.V44O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


J'ai essayé à nouveau de scanner avec Malwarebytes, mais sans succès, redémarrage à nouveau.  Windows m'informe, lors du redémarrage, que c'est causé par un problème de disque dur, qu'il a perdu momentanément contact avec le disque dur et a du se fermer.. ?

benurrr · Answer

Pour le vérifier, fait Démarrer => Exécuter et tapez « cmd ».

Ensuite dans l'invite de commande tape fsutil dirty query C: (C étant bien sur la lettre du disque que vous souhaitez vérifier)

Si le message en résultat est « Le volume C : est intègre » il ne vous sera pas nécessaire de lancer la vérification avec CHKDSK.

Par contre si vous obtenez le message « Le volume C : n'est pas intègre » il va falloir lancer la vérification.

mhoude · Answer

Non, le volume C est intègre..  Et j'ai lancé la vérification tout de même, hier, et elle a gelé à 80% dans sa progression pendant 6 heures.  J'ai fini par redémarrer manuellement.

Ce qui m'inquiète le plus, c'est que le redémarrage se produit aussi dans le mode sans échec, et que quand je regarde la progression, il y a toujours des infections détectées.  Mais ça se produit uniquement quand je fais l'analyse complète.  Quand je fais l'analyse rapide, ça fonctionne, mais ça ne détecte rien.

benurrr · Answer

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

3.1 - Option Recherche

Téléchargez DelFix sur votre bureau.
Lancez le, tapez 1 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

-------------------------

3.2 - Option Suppression

Téléchargez DelFix sur votre bureau
Lancez le, tapez 2 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


--------------Après------------------

tu va télécharger Ccleaner http://dl.commentcamarche.net/...

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/

----------------Après---------



Télécharge UsbFix de C_XX & Chiquitine29

http://www.teamxscript.org/usbfixTelechargement.html


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

* Choisis l'option F pour français et tape sur [entrée] .

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

mhoude · Answer

Rapport DelFix:

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.4 - Rapport créé le 17/11/2010 à 11:36
# Mis à jour le 15/11/10 à 17h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Owner - YOUR-13D22AEEDB (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Owner\Mes documents\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Owner\Bureau\ccm.exe <-- Combofix Renommé
Supprimé : C:\ComboFix.txt
Supprimé : C:\rkill.log
Supprimé : C:\TDSSKiller.2.4.4.0_14.11.2010_10.45.54_log.txt
Supprimé : C:\TDSSKiller.2.4.4.0_14.11.2010_17.23.22_log.txt
Supprimé : C:\TDSSKiller.2.4.4.0_17.10.2010_10.58.21_log.txt
Supprimé : C:\TDSSKiller.2.4.4.0_17.10.2010_11.38.29_log.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Owner\Bureau\mbr.log
Supprimé : C:\Documents and Settings\Owner\Bureau\ZHPDiag.exe
Supprimé : C:\Documents and Settings\Owner\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\Owner\Bureau\RKreport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

########## EOF - "C:\DelFixSuppr.txt" - [2260 octets] ##########



Rapport USBFix:


############################## | UsbFix 7.035 | [Recherche]

Utilisateur: Owner (Administrateur) # YOUR-13D22AEEDB [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 11:55:26 | 17/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) D CPU 2.80GHz
CPU 2:  Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Services de sécurité Vidéotron Antivirus 9.0.44 [Enabled | Updated]
Firewall: Services de sécurité Vidéotron Coupe-feu 9.0.44 [Enabled]
RAM -> 1021 Mo 
C:\ (%systemdrive%) -> Disque fixe # 228 Go (60 Go libre(s) - 26%) [] # NTFS
D:\ -> Disque fixe # 4 Go (2 Go libre(s) - 41%) [] # FAT32
E:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

benurrr · Answer

Suppression 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

 Ton bureau disparaitra et le pc redémarrera .

 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

mhoude · Answer

benurrr · Answer

1/ télécharger :  

http://www.geekstogo.com/forum/files/file/6-smitfraudfix/


2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes 

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)  
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

mhoude · Answer

C'est fait.

Le rapport est ici : http://www.cijoint.fr/cjlink.php?file=cj201011/cijiEvfvjC.txt

Je n'avais pas désactivé mes protections avant de rouler le programme.  Est-ce que ça peut changer quelquechose?

benurrr · Answer

Démarre en mode sans échec :
 
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter. 

Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport 

sa va te faire disparaitre  le fond d'écran de bureau

mhoude · Answer

SmitFraudFix v2.424

Rapport fait à 16:47:30,37, 2010-11-17
Executé à partir de C:\Documents and Settings\Owner\Mes documents\Downloads\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CBD379EF-E2E7-419D-96FF-9E636FB75B5B}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CBD379EF-E2E7-419D-96FF-9E636FB75B5B}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CBD379EF-E2E7-419D-96FF-9E636FB75B5B}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CBD379EF-E2E7-419D-96FF-9E636FB75B5B}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

benurrr · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

 Télécharge et installe List&Kill'em et enregistre le sur ton bureau 

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis l'option Search 

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite. 
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection. 

? laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan 

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"  
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

mhoude · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijp97KVBB.txt

Merci encore beaucoup pour ton aide!

benurrr · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

 choisis l'Option Clean 

ton PC va redémarrer, 

laisse travailler l'outil. 

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

 colle le contenu dans ta réponse

mhoude · Answer

Rapport Kill'em.txt:


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Owner (Administrateurs) 
Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 10:06:55 | 2010-11-18

              Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Services de sécurité Vidéotron Antivirus 9.0.44 [ Enabled | Updated ]
FW : Services de sécurité Vidéotron Coupe-feu[ Enabled ]9.0.44

C:\ -> Disque fixe local | 228,46 Go (66,35 Go free) | NTFS
D:\ -> Disque fixe local | 4,41 Go (1,82 Go free) | FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Videotron\Services de sécurité Vidéotron\Fws.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Videotron\Services de sécurité Vidéotronps.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Videotron\Services de sécurité Vidéotron\AVG\Identity Protection\agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Fichiers communs\New Boundary\PrismXL\PRISMXL.SYS
C:\Program Files\Videotron\Services de sécurité Vidéotron\RpsSecurityAwareR.exe
C:\WINDOWS\ehome\RMSvc.exe
C:\Program Files\Videotron\Videotron Service Agent\ServicepointService.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\McrdSvc.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache 
Quarantined & Deleted !! : C:	emp\ezface.exe 
Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar 
Quarantined & Deleted !! : C:\Program Files\WindowsUpdate 
Quarantined & Deleted !! : C:\WINDOWS\DUMP2710.tmp 
Quarantined & Deleted !! : C:\WINDOWS\kb913800.exe 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\WINDOWS\System32\ealregsnapshot1.reg 
Quarantined & Deleted !! : C:\WINDOWS\System32	mp.reg 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{03D744BB-0E0D-4D57-B741-4DBBB199386F}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{25B35BC1-2AF5-4BF8-A005-4F13BCBA2C43}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{38D502AB-78CA-4272-843D-C7837BFB9E5C}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{3EF85FF0-9840-4D79-9739-BE6E9ED8DDFB}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{509DDDF3-A725-48FA-8AB4-3F1E8749033C}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{520B15C5-27E7-441B-904C-9BC78D5CE149}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{6B351047-5CEF-485D-8302-24FF19640020}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{76B742B0-1D08-40CD-84CF-BBCB7D3C4605}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{8A9DC86C-DF11-4EBC-A4E9-3DA33525DA51}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{982AEA87-A179-4D5D-9A41-C37C1D52976A}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{AA00A725-1829-4BB0-9728-DF5A25D68037}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{AC48C17C-5A96-4A58-90D7-2C9E81803739}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{AE8EC4BD-5617-42CA-B868-CD2C16E36D76}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{D73E434B-21CB-4D87-AE72-3237E7D75ACA}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{E14AD066-5481-4832-B60A-27B0FCBBF327}.tmp 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZKT{F7EBAD39-B609-4265-897C-923108559959}.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Owner\Application Data\GDIPFONTCACHEV1.DAT 
Quarantined & Deleted !! : C:\Documents and Settings\Owner\Application Data\pcouffin.inf 
Quarantined & Deleted !! : C:\Documents and Settings\Owner\Application Data\pcouffin.log 
Quarantined & Deleted !! : C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\SuggestedSites.dat 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys IASTOR.SYS hal.dll 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

benurrr · Answer

cool la supression a fonctionner

tu peut mettre a jour malwarbyte et faire un scan stp pour voir s'il bug

mhoude · Answer

L'analyse a pas du tout fonctionné dans le mode Windows normal, mais elle a pu être exécutée au complet dans le mode sans échec!  Yé!  :)  

Penses-tu que tout est disparu?

Je vais essayer de la refaire maintenant en mode normal, mais je te colle ici le rapport du mode sans échec :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5144

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

2010-11-18 12:00:40
mbam-log-2010-11-18 (12-00-40).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 310372
Temps écoulé: 54 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Owner\Mes documents\Azureus Downloads\Nero 8.1.1.0 Ultra Edition + Keygen [h33t] [CaZoR]\Nero 8.1.1.0 Ultra Edition + Keygen [h33t] [CaZoR]
ero8x.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Mes documents\Téléchargements\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{19B36CF1-12AA-4058-8328-3769885FB8AB}\RP1389\A0759146.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{19B36CF1-12AA-4058-8328-3769885FB8AB}\RP1389\A0759147.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{19B36CF1-12AA-4058-8328-3769885FB8AB}\RP1389\A0759150.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

benurrr · Answer

Attention aux cracks, c'est un important vecteur d'infection (télécharger un crack ou même visiter un site de crack a de grandes chances d'infecter l'ordinateur) : plus de 40%des infections
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;) 

https://forum.malekal.com/viewtopic.php?f=33&t=893 
Si tu en as, il faut les supprimer, ou il vont réinfecter continuellement ton pc...

mhoude · Answer

Eumm, je dois dire que je ne te suis pas trop...  Qu'est-ce qu'un crack?  Et qu'est-ce qu'un bagle?

L'analyse antivirus n'a pas fonctionné en mode normal, je vais tenter le coup tantôt en mode sans échec.

mhoude · Answer

En fait, la vraie question, c'est : comment je fais pour identifier les cracks installés et les désinstaller?  J'imagine qu'il s'agit de trucs de piratage?...  À ma connaissance, je n'en ai pas installé récemment, et le seul truc que je pourrais voir, c'est le site icefilms.info que je fréquente une fois de temps en temps...  Crois-tu qu'il pourrait s'agir de cela?

mhoude · Answer

J'ai aussi désinstallé Photoshop, Illustrator et After Effects d'Adobe, que j'ai installé sur ma machine il y a plusieurs années...  Est-ce que ça peut être ça?
Je vais retenter une nouvelle analyse antivirus en sans échec.

benurrr · Answer

mais la le pc redémarre plus pendant le scan je voit que malwarbyte a scanner pendant  54 minute

mhoude · Answer

Les scans fonctionnent juste en mode sans échec.  En mode normal, ça redémarre toujours.  Juste un peu plus tard dans la progression...  Ça peut être causé par quoi selon toi?

benurrr · Answer

plusieurs cause peut-etre problème matériel ou virus 

# Ouvre "Poste de travail" et fait un clic droit sur l'icône pour le lecteur qui doit être vérifié.
#  Dans le menu contextuel qui s'ouvre, choisis "Propriétés".
# Clique sur l'onglet "Outils" en haut de la fenêtre Propriétés.
#  Dans la "Vérification des erreurs", cliquez sur le bouton "Vérifier maintenant".
# Une boîte montrant les options pour l'exécution de Chkdsk est alors disponible 

tu coche les 2 cases et clic sur ok il va te demander de redémarrer tu fait ok 

et laisse travailler l'outil