Virus fait planter tous programmes Résolu/Fermé

Question

Bonjour, 

depuis un peu plus d'une semaine, j'ai un problème récurrent sur mon PC :
après quelques heures d'utilisation, un programme se met à planter. Une fois, c'était MRU blaster, une autre c'était SpywareGuard, une autre c'était le TouchPad, etc. Message d'erreur similaire à chaque fois :
(0xc000008f) s'est produite dans l'application à l'emplacement 0x7c812afb
puis message : "Erreur inconnue"
Conséquence : je ferme le programme et il n'y a plus rien d'écrit nulle-part (dans les entêtes, sous les icônes, dans les fenêtres...). Tous les programmes se mettent à planter progressivement, et il n'y a plus de Taskmgr ni même d'Explorer.EXE. Impossible ensuite d'éteindre le PC.
Je le débranche et lorsque je le rallume, il n'y a aucun problème apparent.

Niveau protection, j'ai Avira Antivir gratuit et Comodo Firewall (tous deux à jour).

J'ai fait des scans avec Antivir donc, Malwarebytes, SuperAntispyware, A-Squared, HijackThis, et des scanners en ligne (HouseCall, BitDefender, CA) rien trouvé d'anormal.

En cherchant sur le net, j'ai trouvé quelque chose sur un virus nommé "Virut" (http://www.commentcamarche.net/faq/16138-comment-supprimer-virut) ; donc j'ai utilisé les moyens que l'article préconisait, à savoir Dr Web CureIt, KaspersKy AVPTool, eScan, RMVirut et Virutkiller. Ils ont bien trouvé deux trois petites crasses et quelques faux positifs, mais mon problème est toujours là.

Est-ce que quelqu'un pourrait m'aider, car là je ne sais plus quoi faire ?

Merci d'avance.


A mon avis, j'ai été infecté par clé USB, mais ça ne m'avance pas quant à la source du problème.




Configuration: Windows XP SP3 / Firefox 3.6.12

Babarnabe · Answer

Bonjour,

est-ce que quelqu'un pourrait me donner des conseils quant à l'utilisation d'autres programmes (ZHPdiag par exemple), pour m'aider à determiner mon infection ?

Merci d'avance

Utilisateur anonyme · Answer

Bonsoir

Vérifions si cela:

Poste moi les différents rapports:
Antivirus 
Malwaresbytes
Super antyspywares...

enfin tous le résultats de ces scans divers.
merci

@+

Babarnabe · Answer

Salut,

d'abord merci de t'intéresser à mon problème.
Ensuite, les scans avec Malwarebytes, Antivir et SuperAntispyware ne trouvent absolument rien.

Je peux te poster le rapport HijackThis, mais je n'ai rien remarqué d'anormal.

Si tu es capable de lire les rapports ZHPdiag ou OTL, je peux te les joindre, mais j'aurais besoin de conseils en termes de manip de ces outils.

Merci.

Babarnaben · Answer

Re-salut,

le site ci-joint étant bloqué dans le pays dans lequel je réside (qui commence par Ch- et finit par -ine), pour des raisons qui m'échappent ; j'ai uploadé mon rapport ZHPdiag ici :
http://www.fileshost.com/download.php?id=A59129331

Merci.


ps : heureusement pour moi qu'on ne bloque pas l'accès à CCM

Utilisateur anonyme · Answer

RE

Désolé ;mais si ce rapport n'est pas  sur le site.
S'arrête la ma contribution.

@+

Babarnaben · Answer

Re,

attends, ne pars pas si vite, j'ai trouvé un autre site type ci-joint qui n'est pas bloqué par les cyber-autorités bienveillantes chinoises. Tu peux consulter le log ici : http://stashbox.org/1032460/RapportZHPdiag_Babarnaben.txt

Merci de ton aide.

gen-hackman · Answer

bonsoir 

1/...


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

======================

2/........

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Babarnaben · Answer

Salut,

merci pour ton aide. j'ai suivi tes instructions à la lettre.
Désolé pour le temps de réponse, mais j'ai rencontré des problèmes avant et après avoir utilisé les outils :

mon PC a planté une nouvelle fois avant la mise en route des outils
captures d'écran ici http://stashbox.org/1032654/Plantage.JPG
et ici http://stashbox.org/1032655/Plantage%202.JPG

ensuite les outils ont l'air d'avoir fonctionné
log Ad-R ici http://stashbox.org/1032656/Ad-Report-CLEAN%5B1%5D.txt
et log USBfix ici http://stashbox.org/1032658/UsbFix.txt

mais après l'emploi d'USBfix j'ai une vingtaine de processus manquants, mon firewall Comodo (que j'avais désactivé) m'affiche un message d'erreur
et un processus étrange est apparu zip.com qui prenait 50% des ressources.

Dans l'attente de ta réponse.

Merci encore.

Babarnaben · Answer

Bonjour,

apparemment mon problème n'a pas été résolu, j'ai encore eu le même type de plantage : erreur inconnue puis plus aucun mot ne s'affiche nulle-part, j'ai aussi des nouveaux processus qui sont apparus entretemps vssvc.exe et un autre dont j ai pas eu le temps de noter le nom.

Il semblerait aussi qu'un des logiciels a remis en marche l'execution automatique des périphériques USB alors que je l'avais désactivé.

As-tu une autre solution à me proposer ?

Merci.

gen-hackman · Answer

bonjour :

je n'ai aucun accès à tes pages

passe par cijoint.fr pour transmettre les captures et les logs

Babarnaben · Answer

Re,

désolé mais ci-joint ne fonctionne pas en Chine (où je suis), connais-tu un autre site d'hébergement de fichiers stp ?

Merci pour ta patience.

gen-hackman · Answer

colle le contenu des rapports ici

Babarnaben · Answer

D'abord je te mets le log Ad remover :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 02:30:40 le 21/11/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
Nom du PC: CRC_86258614Q
Utilisateur actuel: utilisateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.12 (fr) *
.
C:\Documents and Settings\utilisateur\..\7n3aaovx.default\prefs.js - browser.search.selectedEngine: Ads4Africa
C:\Documents and Settings\utilisateur\..\7n3aaovx.default\prefs.js - browser.startup.homepage: hxxp://www.google.co.uk
C:\Documents and Settings\utilisateur\..\7n3aaovx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.12
C:\Documents and Settings\Pain Q\..\8yq2xmsd.default\prefs.js - browser.search.selectedEngine: Portail Lexical - CNRTL
C:\Documents and Settings\Pain Q\..\8yq2xmsd.default\prefs.js - browser.startup.homepage: hxxp://www.bigseekpro.com/bigseekpro/{7B114D91-818D-99AD-D0C2-CCEC04265F7E}
C:\Documents and Settings\Pain Q\..\8yq2xmsd.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.12
C:\Documents and Settings\Pain Q\..\8yq2xmsd.default\prefs.js - keyword.URL: hxxp://www.bigseekpro.com/search/toolbar/bigseekpro/{7B114D91-818D-99AD-D0C2-CCEC04265F7E}?q=
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2701 Octet(s)
.
Fin à: 02:35:29, 21/11/2010
.
============== E.O.F - CLEAN[1] ==============

Babarnaben · Answer

Et le log USBfix :

############################## | UsbFix 7.035 | [Suppression]

Utilisateur: utilisateur (Administrateur) # CRC_86258614Q [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 02:45:50 | 21/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Norton Internet Security 2006 2006 [Enabled | Updated]
Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [(!) Disabled]
Firewall: Norton Internet Security 2006 2006 [Enabled]
RAM -> 502 Mo 
C:\ (%systemdrive%) -> Disque fixe # 32 Go (22 Go libre(s) - 68%) [WINXP] # NTFS
D:\ -> Disque fixe # 102 Mo (100 Mo libre(s) - 98%) [BOOT] # FAT
E:\ -> Disque fixe # 32 Go (8 Go libre(s) - 25%) [DONNEES] # FAT32
F:\ -> CD-ROM
G:\ -> Disque fixe # 30 Go (30 Go libre(s) - 100%) [EXCHANGE] # FAT32
H:\ -> Disque fixe # 20 Go (20 Go libre(s) - 100%) [SYSTEM] # NTFS
I:\ -> Disque amovible # 981 Mo (264 Mo libre(s) - 27%) [PAT UZB] # FAT32
J:\ -> Disque fixe # 146 Go (55 Go libre(s) - 38%) [DISQ EXT 1] # NTFS
K:\ -> Disque fixe # 146 Go (71 Go libre(s) - 49%) [DISQ EXT 2] # NTFS
L:\ -> Disque fixe # 123 Go (41 Go libre(s) - 33%) [DISQ EXT 3] # NTFS
M:\ -> Disque amovible # 7 Go (3 Go libre(s) - 43%) [ªs_Ñd] # FAT32

################## | Éléments infectieux |


Supprimé! C:\WINDOWSegedit.com
Supprimé! C:\WINDOWSundl132.exe
Supprimé! C:\WINDOWS\startup.vbs
Supprimé! C:\Recycler\S-1-5-21-1337730096-3920957931-3957990626-1005
Supprimé! C:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1005
Supprimé! C:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1009
Supprimé! C:\Recycler\S-1-5-21-1956176086-3965802582-2267961707-1005
Supprimé! C:\Recycler\S-1-5-21-3792902163-1310106832-3927406878-2916
Supprimé! C:\Recycler\S-1-5-21-759752043-913634464-124806166-1005
Supprimé! H:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1005
Supprimé! H:\Recycler\S-1-5-21-2717984691-3724858960-769358450-1005
Supprimé! J:\Recycler\S-1-5-21-1236884034-1132204877-4235405847-1005
Supprimé! J:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1005
Supprimé! J:\Recycler\S-1-5-21-2717984691-3724858960-769358450-1005
Supprimé! K:\Recycler\S-1-5-21-1236884034-1132204877-4235405847-1005
Supprimé! K:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1005
Supprimé! K:\Recycler\S-1-5-21-2717984691-3724858960-769358450-1005
Supprimé! L:\Recycler\S-1-5-21-1236884034-1132204877-4235405847-1005
Supprimé! L:\Recycler\S-1-5-21-1562669322-35423264-3304522773-1005
Supprimé! L:\Recycler\S-1-5-21-2717984691-3724858960-769358450-1005
Supprimé! M:\sys

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{032ed8a9-ac42-11df-8e51-00a0d14dbb1a}

################## | Listing |

[15/07/2010 - 22:10:28 | N | 1024] 	C:\.rnd
[21/11/2010 - 02:35:20 | D ] 	C:\Ad-Remover
[21/11/2010 - 02:35:29 | N | 2827] 	C:\Ad-Report-CLEAN[1].txt
[21/04/2006 - 08:08:08 | N | 0] 	C:\AUTOEXEC.BAT
[13/11/2010 - 00:20:34 | RASHD ] 	C:\autorun.inf
[17/10/2010 - 01:09:13 | N | 212] 	C:\boot.ini
[05/08/2004 - 11:00:00 | N | 4952] 	C:\Bootfont.bin
[21/04/2006 - 08:08:08 | N | 0] 	C:\CONFIG.SYS
[20/03/2010 - 03:14:23 | N | 202] 	C:\Desactive_Autorun.reg
[31/03/2010 - 05:17:31 | D ] 	C:\Documents and Settings
[31/10/2010 - 10:57:06 | D ] 	C:\Downloads
[21/11/2010 - 02:37:39 | ASH | 526438400] 	C:\hiberfil.sys
[04/09/2010 - 07:53:27 | D ] 	C:\Hotspot Shield
[06/04/2010 - 07:41:24 | D ] 	C:\I386
[07/11/2010 - 11:34:41 | N | 288290] 	C:\immudebug.log
[25/09/2006 - 09:07:50 | N | 65] 	C:\info.txt
[14/03/2010 - 14:36:31 | D ] 	C:\Intel
[16/07/2010 - 15:28:34 | D ] 	C:\IntelPRO
[21/04/2006 - 08:08:08 | N | 0] 	C:\IO.SYS
[01/05/2010 - 10:45:40 | N | 109] 	C:\mbam-error.txt
[21/04/2006 - 08:08:08 | N | 0] 	C:\MSDOS.SYS
[16/03/2010 - 02:23:15 | RHD ] 	C:\MSOCache
[05/08/2004 - 11:00:00 | N | 47564] 	C:\NTDETECT.COM
[14/03/2010 - 04:41:39 | N | 252240] 	C:
tldr
[21/11/2010 - 02:37:36 | ASH | 792723456] 	C:\pagefile.sys
[20/11/2010 - 16:31:46 | D ] 	C:\Program Files
[21/11/2010 - 02:49:50 | SHD ] 	C:\RECYCLER
[20/09/2006 - 00:32:58 | D ] 	C:\SUPPORT
[31/07/2006 - 21:32:33 | N | 176] 	C:\SWSTAMP.TXT
[19/11/2010 - 11:03:15 | SHD ] 	C:\System Volume Information
[21/11/2010 - 02:49:50 | D ] 	C:\UsbFix
[21/11/2010 - 02:49:51 | A | 2876] 	C:\UsbFix.txt
[20/09/2006 - 00:39:21 | D ] 	C:\VALUEADD
[30/04/2010 - 00:02:45 | D ] 	C:\VritualRoot
[21/11/2010 - 02:47:16 | D ] 	C:\WINDOWS
[06/04/2010 - 02:27:56 | D ] 	D:\dos
[06/04/2010 - 02:27:56 | SHD ] 	D:\System Volume Information
[06/04/2010 - 02:27:56 | SHD ] 	D:\Recycled
[31/08/2006 - 16:01:02 | N | 439] 	D:\autoexec.bat
[29/08/2006 - 19:51:38 | N | 301] 	D:\BOOTLOG.TXT
[15/05/1998 - 20:01:00 | N | 95864] 	D:\COMMAND.COM
[31/08/2006 - 15:52:02 | N | 570] 	D:\config.sys
[15/05/1998 - 20:01:00 | N | 69127] 	D:\DRVSPACE.BIN
[01/08/2006 - 14:18:04 | N | 1394964] 	D:\ghost.exe
[15/05/1998 - 20:01:00 | N | 222390] 	D:\IO.SYS
[04/09/2005 - 19:44:46 | N | 64] 	D:\MSDOS.SYS
[13/11/2010 - 00:20:36 | RASHD ] 	D:\autorun.inf
[14/03/2010 - 07:20:24 | D ] 	E:\Mes Documents
[14/03/2010 - 01:51:18 | SHD ] 	E:\System Volume Information
[14/03/2010 - 02:31:10 | SHD ] 	E:\Recycled
[14/03/2010 - 06:22:20 | D ] 	E:\d6bfc9b5c6433645268ee8d3cf2683
[17/03/2010 - 16:15:18 | D ] 	E:\6ca0cb852adbe3b7081a35aea6
[20/03/2010 - 05:16:38 | D ] 	E:\vghd
[27/03/2010 - 04:28:46 | D ] 	E:\Program Files
[13/11/2010 - 00:20:36 | RASHD ] 	E:\autorun.inf
[16/03/2010 - 02:23:26 | SHD ] 	G:\System Volume Information
[16/03/2010 - 04:34:44 | SHD ] 	G:\Recycled
[18/11/2010 - 00:57:24 | RASHD ] 	G:\autorun.inf
[18/11/2010 - 00:57:23 | RASHD ] 	H:\autorun.inf
[21/11/2010 - 02:49:50 | SHD ] 	H:\RECYCLER
[14/11/2010 - 09:01:38 | SHD ] 	H:\System Volume Information
[14/11/2010 - 12:30:02 | N | 19456] 	I:\Planning du cours - Cours oraux - 2eme annee (Bac+3) - Patrick.xls
[14/11/2010 - 12:34:00 | N | 19968] 	I:\Planning du Cours Audio - Bac+3 - Patrick.xls
[14/11/2010 - 12:33:16 | N | 18432] 	I:\Planning du Cours Audio - Tourisme - Patrick.xls
[14/11/2010 - 11:56:36 | N | 20480] 	I:\_10????????.xls
[14/11/2010 - 11:56:46 | N | 39424] 	I:\_????(??+??).doc
[05/09/2010 - 01:19:00 | N | 25600] 	I:\??????(?,??).doc
[05/09/2010 - 01:19:00 | N | 25600] 	I:\??????(????).doc
[14/11/2010 - 23:01:30 | N | 35840] 	I:\Fiche pédagogique 2010-11-15 (Bac+3) Patrick.doc
[14/11/2010 - 23:02:18 | N | 35840] 	I:\Fiche pédagogique 2010-11-15 (Bac+4) Patrick.doc
[15/11/2010 - 07:52:38 | N | 19456] 	I:\Planning du cours - Cours oraux - 2eme annee (Bac+4) - Patrick.xls
[18/11/2010 - 00:57:36 | RASHD ] 	I:\autorun.inf
[18/11/2010 - 13:53:24 | N | 751628288] 	I:\Mary And Max (2009) DvdRip [Xvid] {1337x}-X.avi
[03/03/2010 - 14:39:17 | RASHD ] 	J:\autorun.inf
[12/02/2010 - 09:03:27 | D ] 	J:\Documentaries
[02/07/2010 - 08:44:19 | D ] 	J:\Movies
[18/09/2010 - 09:59:10 | D ] 	J:\Mémoire M2
[21/11/2010 - 02:49:50 | SHD ] 	J:\RECYCLER
[14/11/2010 - 07:26:30 | SHD ] 	J:\System Volume Information
[03/03/2010 - 14:39:17 | RASHD ] 	K:\autorun.inf
[02/10/2010 - 11:38:25 | D ] 	K:\Fotos
[10/02/2010 - 13:31:08 | D ] 	K:\Games
[10/02/2010 - 14:00:33 | D ] 	K:\Musiq
[18/09/2010 - 09:59:27 | D ] 	K:\Mémoire M2
[06/04/2010 - 01:28:40 | D ] 	K:\PC
[21/11/2010 - 02:49:50 | SHD ] 	K:\RECYCLER
[14/11/2010 - 07:26:30 | SHD ] 	K:\System Volume Information
[05/07/2010 - 12:22:21 | D ] 	K:\Videos
[03/03/2010 - 14:39:17 | RASHD ] 	L:\autorun.inf
[02/05/2010 - 15:35:35 | D ] 	L:\etc
[18/09/2010 - 09:59:34 | D ] 	L:\Mémoire M2
[02/10/2010 - 11:01:40 | D ] 	L:\Q
[21/11/2010 - 02:49:50 | SHD ] 	L:\RECYCLER
[14/11/2010 - 07:26:30 | SHD ] 	L:\System Volume Information
[01/01/2009 - 11:24:46 | D ] 	M:\Games
[01/01/2009 - 11:24:46 | D ] 	M:\Installs
[01/01/2009 - 11:24:46 | D ] 	M:\Others
[01/01/2009 - 11:24:46 | D ] 	M:\Videos
[01/01/2009 - 11:24:46 | D ] 	M:\Private
[01/01/2009 - 11:24:46 | D ] 	M:\Images
[01/01/2009 - 11:24:46 | D ] 	M:\Sounds
[01/01/2009 - 05:34:18 | D ] 	M:\cities
[30/09/2010 - 23:57:08 | N | 241] 	M:\qf
[01/01/2009 - 07:30:06 | D ] 	M:\My Videos
[01/01/2009 - 14:29:32 | D ] 	M:\Attachments
[31/12/2009 - 10:10:00 | N | 86667] 	M:\DevIcon.fil
[31/12/2009 - 10:10:00 | N | 1579] 	M:\DevLogo.fil
[02/01/2010 - 01:48:08 | D ] 	M:\system
[17/02/2010 - 10:03:36 | D ] 	M:\Nokia
[02/01/2010 - 02:16:30 | D ] 	M:\data
[21/02/2010 - 14:20:12 | D ] 	M:\Backup
[22/02/2010 - 03:33:08 | D ] 	M:\Music
[22/02/2010 - 00:10:14 | N | 0] 	M:\355225034449672.ndif
[27/02/2010 - 09:45:38 | D ] 	M:esource
[27/02/2010 - 11:42:34 | D ] 	M:\Playlists
[27/02/2010 - 05:56:58 | D ] 	M:\PDF docs
[03/03/2010 - 14:39:20 | RASHD ] 	M:\autorun.inf
[14/11/2010 - 13:07:24 | D ] 	M:\Recycled
[19/11/2010 - 00:31:34 | D ] 	M:\Mary And Max 2009 BRRip H264 AAC-SecretMyth (Kingdom-Release)

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
L:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
M:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

D:\ghost.exe  



    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Babarnaben · Answer

Re,

je sais ce que c'est, c'est un outil de sauvegarde pour formater uniquement le disque système C:

je le fais analyser quand-même

Babarnaben · Answer

Aucun des antivirus sur Virustotal ne l'a détecté comme dangereux

gen-hackman · Answer

ok si tu connais laisse tomber , il me semblait suspect

fais examiner ceci sur virus total :

C:\Windows\Explorer.exe
C:\Windows\System32\winlogon.exe

Babarnaben · Answer

Même résultat pour explorer.exe et 1 antivirus sur 42 a trouvé winlogon.exe dangereux (trojan-downloader/W32.Small.512000.B)

Babarnaben · Answer

En fouillant dans le journal de mon firewall je viens de trouver des évènements d'un fichier nommé "drives.vbs", ça doit avoir un lien avec mon infection.

gen-hackman · Answer

tu peux le trouver ce fichier ? 

edit ::

un conseil :

E:\vghd 

=> poubelle c'est un ramasse trojan ce truc
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

Babarnaben · Answer

j'ai juste fait une recherche avec l'explorateur windows, et je ne l'ai pas trouvé.
Mais à chaque fois il était dans le dossier temp,  et il a agi sur quelquechose nommé WINMGMTS.
Il a certainement été supprimé avec soit Ad-remover ou USBfix, mais ça n'explique pas le dernier plantage il y a 4 heures.

Babarnaben · Answer

et y a cette série de numéros et de chiffres qui revient à chaque fois :
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
je ne sais pas si ça correspond à un fichier ou une clé de registre

Babarnaben · Answer

numéros et de lettres

gen-hackman · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre  va s'ouvrir .

*Tape {8BC3F05E-D86B-11D0-A075-00C04FB68820}  dans cette fenêtre 

confirme la recherche dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

Babarnaben · Answer

Merci pour ta patience, mais il semble que l'internet chinois ne veuille pas trop m'aider : tous les liens pour télécharger SEAF.exe sont bloqués ici.

En plus, je dois lâcher le PC maintenant, je bosse tôt demain & toute la journée.

J'essaie de reprendre le sujet demain soir (début d'après-m' en France) dès que je parviens à trouver l'outil que tu suggères.

Merci encore.

gen-hackman · Answer

ok on verra de faire autrement à demain :)

Babarnaben · Answer

Salut,

j'ai mis beaucoup de temps à trouver un lien accessible pour télécharger SEAF mais étrangement l'exe ne veut pas fonctionner, je l'ai re-télécharger, et il n'a pas l'air de se lancer.

Sinon concernant mon problème, je pense que la série de numéros et de lettres correspond à un serveur, et que ça a sans doute un lien avec un service DCOM (en fait, je comprends rien de ce que j'écris là). Peut-être que le fichier WINMGMT a été corrompu.

J'ai découvert ça ici (site en anglais)  https://www.bleepingcomputer.com/forums/t/1750/winmgmtexe-errors/

Je sais pas si ça te parle plus qu'à moi.

Babarnaben · Answer

Excuse-moi, j'ai parlé trop vite ; j'ai réussi à trouver un autre lien pour SEAF et cet exe-là s'est lancé.

Voici le rapport :


1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 14:37:23 le 22/11/2010
4. 
5. Valeur(s) recherchée(s):
6. 8BC3F05E-D86B-11D0-A075-00C04FB68820
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre seulement
11. 
12. ====== Entrée(s) du registre ======
13. 
14. 
15. [HKLM\Software\Classes\AppID\winmgmt]
16. "AppID"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
17. 
18. [HKLM\Software\Classes\AppID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}]
19. DA: 12/11/2010 16:50:34
20. 
21. [HKLM\Software\Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}]
22. DA: 21/11/2010 07:19:22
23. 
24. [HKLM\Software\Classes\CLSID\{C49E32C6-BC8B-11D2-85D4-00105A1F8304}]
25. "AppId"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
26. 
27. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\0\HIPS\COM Groups\1\2]
28. "Filename"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
29. 
30. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\0\HIPS\COM Groups\1\2]
31. "DeviceName"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
32. 
33. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\1\HIPS\COM Groups\1\2]
34. "Filename"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
35. 
36. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\1\HIPS\COM Groups\1\2]
37. "DeviceName"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
38. 
39. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\COM Groups\1\2]
40. "Filename"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
41. 
42. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\COM Groups\1\2]
43. "DeviceName"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
44. 
45. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\Policy\7\Rules\1\Allowed\0]
46. "Filename"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
47. 
48. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\Policy\7\Rules\1\Allowed\0]
49. "DeviceName"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
50. 
51. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\Policy\9\Rules\0\Allowed\1]
52. "Filename"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
53. 
54. [HKLM\System\Software\Comodo\Firewall Pro\Configurations\2\HIPS\Policy\9\Rules\0\Allowed\1]
55. "DeviceName"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" (REG_SZ)
56. 
57. =========================
58. 
59. Fin à: 14:40:04 le 22/11/2010
60. 269081 Éléments analysés
61. 
62. =========================
63. E.O.F

gen-hackman · Answer

bonjour

il semblerait que ca vienne de comodo ^^

Babarnaben · Answer

Bon je trouve rien de nouveau dans mes recherches sur le net parmi les évènements relevés par Comodo.

Je continuerai à chercher demain.

Merci encore.

gen-hackman · Answer

je pense que comodo est mal configuré s'il bloque sur des fichiers legitimes de windows ...

Babarnaben · Answer

Salut,

j'ai refait des scans avec différents outils dont GMER, et je n'ai absolument rien trouvé. A mon avis, j'ai du me débarrasser de l'infection avec les outils que tu m'as conseillés. Depuis, ça doit être mon firewall qui plante. Du coup, je l'ai désinstallé puis réinstallé.
En principe, je ne devrais plus avoir de problèmes. Je marquerai le sujet comme "résolu" demain, après avoir fait tourner le PC quelques temps.

Je me suis aussi demandé si c'était pas un problème matériel, connais-tu un logiciel pour savoir si tout son matériel fonctionne correctement ?

 Merci beaucoup pour ton aide.

A+

Virus fait planter tous programmes

33 réponses

Discussions similaires