Sujet Précédent Sujet Suivant

Problème WIn32

Résolu/Fermé
Cococo21 - 20 avril 2011 à 11:30
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 20 avril 2011 à 21:00
Bonjour,

J'ai depuis quelques jours quelques soucis avec mon PC...

Les symptomes sont les suivants :

-A chaque démarrage j'ai un message d'erreur Windows concernat "win32"

-Il m'est parfois impossible d'accéder à internet sur Mozilla alors que je suis connecté à mon point d'accès wifi

-Parfois tout se bloque et je suis obligé de redemarrer

-Parfois quand je démarre l'ordinateur je reste bloqué sur le "bienvenue" (je suis sous XP)

-J'ai telechargé la version d'essai de Kaspersky et j'ai souvent la notification :

"C:\WINDOWS\SYSTEM32\SVCHOST.EXE (PID: 1516): Chargement de l'objet ....." qui apparait !

Je ne sais pas quoi faire, toute aide me sera la bienvenue :)

26 réponses

  • 1
  • 2
Réponse 1 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 11:31
Bonjour et bienvenue sur CommentCaMarche !

◈ Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

◈ Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.


▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀


◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

◈ Rend toi sur cjoint puis clique sur " Parcourir ".

◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
Réponse 2 / 26
Cococo21
20 avril 2011 à 11:40
Impossible de créer le lien cjoint...
Je copie colle ici ??
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 11:44
Il ne passera pas ici, il est trop long ( ou alors il faudra que tu le postes en 40 messages et ça sera illisible )

Essaie de me l'envoyer par mail. Tu as mon adresse en cliquant sur mon pseudo
Préviens moi quand c'est fait, je me chargerais d'héberger ton rapport et le poster ici "pour la forme"
0
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 11:58
Je n'arrive plus à envoyer de mail non plus...

Y a t'il une partie qui t'intéresse plus qu'une autre que je la poste !??
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 12:22
A vrai dire toutes les parties m'intéressent :o)

Avant de poster le rapport, fais ceci :

▶▷▶▷▶▷▶▷▶▷ TDSSKiller ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

◈ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

◈ Clique sur [Start Scan] pour démarrer l'analyse.

◈ Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

◈ Un rapport s'ouvrira au redémarrage du PC.

Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
0
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 12:32
Message d'erreur à 80 % du chargement :

TDSS rootkit removing tool a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
Modifié par Xplode le 20/04/2011 à 12:35
Ok je vois.. :o)

Peux-tu me poster les parties du rapports ZHPDiag :

- Celle où les lignes commencent pas les chiffres " 081 " si elles sont présentes
- La partie qui commence par " Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer "
- La partie qui commence par "Written by ad13, http://ad13.geekstog "

En gros les deux modules à la fin.
0
Réponse 3 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 12:39
Ok..

error: Read Un périphérique attaché au système ne fonctionne pas correctement.

Ca pue :o)

Est-ce que tu sais si ton PC est tatoué? Tu as une partition " Recovery " quand tu vas dans l'explorateur ?
0
Réponse 4 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 12:43
J'ai Samsung Recovery Solution III

Par contre tatoué je sais pas ce que ca veut dire...
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 13:29
J'ai été regarder, visiblement samsung recovery c'est l'utilitaire de restauration donc ça va pas faciliter les choses.. Je te donne d'autres instructions juste en dessous
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 13:29
▶▷▶▷▶▷▶▷▶▷ Combofix ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

◈ Double clique sur " Combofix.exe "

◈ Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

◈ Pendant le scan, ne touche à rien ( souris, clavier )

◈ Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
Réponse 6 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 14:09
ComboFix 11-04-19.05 - Corentin Bailly 20/04/2011 13:49:33.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.558 [GMT 2:00]
Lancé depuis: c:\documents and settings\Corentin Bailly\Mes documents\Téléchargements\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-20 au 2011-04-20 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-20 09:49 . 2011-04-20 09:49 -------- d-----w- c:\documents and settings\Corentin Bailly\Local Settings\Application Data\Identities
2011-04-20 09:36 . 2011-04-20 09:36 0 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-04-20 09:34 . 2011-04-20 10:03 -------- d-----w- c:\program files\ZHPDiag
2011-04-19 17:04 . 2011-04-19 17:34 115267 ----a-w- c:\windows\system32\drivers\klin.dat
2011-04-19 17:04 . 2011-04-19 17:34 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-04-19 17:03 . 2011-04-19 17:03 -------- d-----w- c:\program files\Kaspersky Lab
2011-04-19 17:03 . 2011-04-20 11:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2011-04-19 16:46 . 2011-04-19 16:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2011-04-19 16:46 . 2011-04-19 16:46 -------- d-s---w- c:\documents and settings\LocalService\UserData
2011-04-19 16:38 . 2011-04-20 11:59 -------- d-----w- c:\documents and settings\Corentin Bailly\Tracing
2011-04-19 16:38 . 2011-04-19 16:38 -------- d-----w- c:\program files\Microsoft Silverlight
2011-04-19 16:37 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2011-04-19 16:36 . 2011-04-19 16:36 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2011-04-19 16:35 . 2011-04-19 16:35 -------- d-----w- c:\program files\Microsoft
2011-04-19 16:35 . 2011-04-19 16:35 -------- d-----w- c:\program files\Windows Live SkyDrive
2011-04-19 16:34 . 2011-04-19 16:37 -------- d-----w- c:\program files\Windows Live
2011-04-19 16:27 . 2011-04-19 16:27 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2011-04-19 15:28 . 2011-04-19 15:28 -------- d-----w- c:\documents and settings\Administrateur
2011-04-19 15:23 . 2011-04-19 15:23 -------- d-----w- c:\documents and settings\Corentin Bailly\Application Data\Malwarebytes
2011-04-19 15:22 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-19 15:22 . 2011-04-19 15:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-19 15:22 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-19 15:22 . 2011-04-19 15:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-19 14:58 . 2011-04-19 14:58 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-04-19 14:56 . 2011-04-19 14:56 -------- d-----w- c:\documents and settings\Corentin Bailly\Local Settings\Application Data\Mozilla
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 17:58 . 2011-04-19 14:56 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2009-06-18 14:20 157168 ----a-w- c:\documents and settings\All Users\Application Data\Partner\partner.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-06-18 36972]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
.
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09/06/2010 16:43 11352]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [18/06/2009 16:14 4300]
R2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe -k yksvcs [19/06/2009 00:48 14336]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 19:01 30208]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07/05/2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/11/2009 19:27 19472]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [18/06/2009 16:17 238464]
S3 Partner Service;Partner Service;c:\documents and settings\All Users\Application Data\Partner\partner.exe [18/06/2009 16:20 110576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
yksvcs REG_MULTI_SZ yksvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Corentin Bailly\Application Data\Mozilla\Firefox\Profiles\tsol6wnf.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-20 14:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: FUJITSU_MHZ2160BH_G2 rev.008B000B -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x86B40332
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3308)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\SAMSUNG\MagicKBD\MagicKBD.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\program files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
.
**************************************************************************
.
Heure de fin: 2011-04-20 14:04:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-04-20 12:04
.
Avant-CF: 68 732 821 504 octets libres
Après-CF: 68 678 692 864 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 66BAC6BE4E54C8B69D6C4DFDB5CE5540
0
Réponse 7 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 14:15
Tu as Daemon Tools ou un autre logiciel d'émulation CD installé sur ton PC ?
0
Réponse 8 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 14:16
Non pas à ma connaissance !
0
Réponse 9 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 14:18
Je n'ai d'ailleurs pas de lecteur CD sur mon PC (netbook)
0
Réponse 10 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 14:19
Ok... ton cas me laisse perplexe, je vais me renseigner.

En attendant, as-tu toujours ce problème :


-Parfois quand je démarre l'ordinateur je reste bloqué sur le "bienvenue" (je suis sous XP)

Si oui, cela apparait régulièrement ?

En attendant tu peux faire ceci :

▶▷▶▷▶▷▶▷▶▷ Malwarebytes' Anti-Malware ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge Malwarebytes' Anti-malware sur ton bureau.

◈ Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"

◈ A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

◈ Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]

◈ Sélectionne tout tes disques locaux et amovibles.

◈ Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.

◈ Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].

◈ MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

◈ Tu peux ensuite vider la quarantaine de MBAM.

Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

◈ Si tu as des soucis, un tutoriel est disponible à cette adresse.
0
Réponse 11 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 14:23
Ca me l'a fait une ou deux fois mais après j'ai formaté le disque dur et ça ne s'est pas reproduit depuis la dernière fois que je l'ai formaté (c'était lundi)

Par contre tout à l'heure après quelques minutes d'inactivité, après que l'écran de veille soit apparu, impossible de retravailler sur le pc j'avais une image figée...

Je vais faire la manip' que tu viens de me décrire, merci pour ton aide :)
0
Réponse 12 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 14:42
Malwarebytes' Anti-Malware a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
0
Réponse 13 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 15:00
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6406

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20/04/2011 14:59:32
mbam-log-2011-04-20 (14-59-32).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 182173
Temps écoulé: 16 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 14 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 15:18
* telecharge dans un dossier dédié ou sur ton bureau http://www.esagelab.com/files/bootkit_remover.rar

» extrait dans ce même dossier ou sur ton Bureau bootkit_remover.rar , un fichier remover.exe en est le contenu.

utilise http://wobzip.org/ pour dezipper si ton extracteur ne le prend pas en charge

* copier_coller remover.exe à la racine du disk et pas ailleurs!! c:\remover.exe

* ouvre ton bloc-note [executer---> notepad]

» copie_colle dans la fenêtre du du bloc note le contenu du texte ci dessous : 

@ECHO OFF
cd c:\
start remover.exe dump \\.\PhysicalDrive0 tralala
EXIT


» enregistre (fichier\enregistrer sous ..) ce texte sous le nom copymbr.bat à coté de remover.exe pas ailleurs!!!! ,

double clic |clic droit exécuter en tant qu'administrateur sous vista,seven| sur copymbr.bat , un fichier tralala est crée à coté de remover.exe

rend toi sur le site https://www.virustotal.com/gui/ ou https://virusscan.jotti.org/ afin de scanner le fichier tralala , il faut cliquer reanalyze si l'archive a déjà été au préalable analysée.

» une fois le scan terminé , poste l'adresse du lien dans ta prochaine réponse
0
Réponse 15 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 15:29
Excès de zèle j'ai fait les deux :

http://virusscan.jotti.org/fr/scanresult/346ed9ea4310e458758f610144fa9455aefe7d38

http://www.virustotal.com/file-scan/report.html?id=e173a41a632527e8b2bcce8e09109fd2d74aeff2257cb952da429c1174fda4a2-1303306029
0
Réponse 16 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 15:31
Comme je le pensais, t'as choppé TDSS sur ton MBR..

Le prb c'est que ton PC est tatoué, et que le fais de réécrire le MBR peut faire sauter le tatouage.. Mais en même temps si on ne réécrit pas le MBR tu auras beau reformater autant que tu veux, le prb restera..

So,

telecharge et dezippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip

Avec l'onglet "browse", sélectionne super_grub_disk_0.9799.iso

coche alors "read verify" , "Finalyze" et "autoeject"

déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start

* Boot dessus et choisi avec les fleche de ton clavier ?WIN=> MBR & !WIN!
0
Réponse 17 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 15:34
J'ai pas de lecteur CD sur mon PC, une clé usb peut faire l'affaire ?
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 15:48
Ah oui c'est vrai j'avais zappé.. :/

Télécharge Unetbootin : https://sourceforge.net/projects/unetbootin/files/UNetbootin/549/unetbootin-win-549.exe/download?use_mirror=vorboss&r=http%3A%2F%2Funetbootin.sourceforge.net%2F&use_mirror=leaseweb

Lance UNetbootin, clique sur la première liste déroulante à droite de "Distribution" puis sélectionne " Super Grub Disk "

Dans lecteur, sélectionne la lettre de ta clé USB puis clique sur [ok]

Patiente pendant que le programme télécharge et installe les fichiers sur ta clé, suis les instructions, redémarre ton PC puis une fois que le PC aura booté sur Super Grub Disk, sélectionne avec les flèches du clavier : ?WIN=> MBR & !WIN!

Une fois ceci fait, redémarre ton PC sans la clé USB et refais moi un rapport ZHPDiag
0
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 16:07
J'ai fait la manip' mais il a pas rebooté sur Super Grub DIsk donc je sais pas si la manip a servie ... ??
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 16:09
Suis ce tutoriel : http://plfnicolarius.free.fr/tutoriel_cdrom_bios.php

Lorsque tu accèderas aux modifications pour changer la séquence de boot ( boot sequence ou un truc du genre ) , mets " USB drive " ( ou tout autre nom comportant USB ) en premier

Ensuite le PC démarrera à partir de la clé USB
0
Réponse 18 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 16:22
Voilà :

https://www.cjoint.com/?ADuqvROW8Yu
0
Réponse 19 / 26
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 16:26
Ah bah d'un coup c'est mieux là ! :o)

Il reste quelques éléments à supprimer :

▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )


O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCR\kt_bho.kettlebho]
[HKCR\kt_bho.kettlebho.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCR\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCR\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
O44 - LFC:[MD5.E0E6D97D28DC8E1C2C3DA11F7A75E3C4] - 20/04/2011 - 14:25:34 ---A- . (...) -- C:\copymbr.bat [78]


◈ Lance ZHPFix qui est présent sur ton bureau.

Clique sur le "H" bleu ( Coller les lignes Helper )

◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]

◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 16:28
Il faut que je telecharge ZHPFix ?
0
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 16:29
AH non je l'ai déjà désolé : )
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 avril 2011 à 16:29
Il est sur ton bureau normalement, puisqu'il s'installe en même temps que ZHPDiag
0
Réponse 20 / 26
Cococo21 Messages postés 51 Date d'inscription mercredi 20 avril 2011 Statut Membre Dernière intervention 13 décembre 2017
20 avril 2011 à 16:31
Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-20-04-2011-16-30-37.txt
Run by Corentin Bailly at 20/04/2011 16:30:36
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCR\kt_bho.kettlebho => Clé supprimée avec succès
HKCR\kt_bho.kettlebho.1 => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKCR\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
HKCR\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} => Clé absente

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Fichier(s) ==========
c:\copymbr.bat => Supprimé et mis en quarantaine


========== Récapitulatif ==========
8 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses