BOO/TDss.M et PC infecté

Fermé
Fraf - 5 juin 2011 à 17:04
 Utilisateur anonyme - 27 juin 2011 à 04:24
Bonjour,

Il y a peu, on m'a aidé ici pour un problème de virus sur un portable. J'ai créé un point de restauration système, et installé Avira AntiVir, qui semble bien fonctionner. Mais depuis, Avira m'a détecté un virus de boot, qui s'est copié au moins trois dans le registre. Je réussis à éliminer les autres virus et menaces au fur et à mesure avec Avira, CCleaner et Spybot, mais je croule régulièrement sous les fenêtres intempestives, et, plus grave, je ne peux plus éteindre l'ordinateur! J'ai essayé de lancer une restauration système, mais le point de sauvegarde que j'ai créé semble avoir été écrasé, et a disparu...

Je pense qu'il y a pas mal de boulot, je ne sais pas par quel bout m'y prendre, si quelqu'un veut bien m'aider...

J'ai lancé un scan d'AntiVir, j'attends les résultats...



A voir également:

33 réponses

Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
7 juin 2011 à 20:51
Même résultat en mode sans échec : ça m'affiche "Pocessing SafeBootMin: NTDS - File not found..."

puis le logiciel se bloque... Est-ce normal? Je laisse courir? (je suis sur un autre ordi actuellement...)
0
Utilisateur anonyme
7 juin 2011 à 21:07
Re

laisse tomber OTL



* Lances Malwarebytes
* cliques sur >> quarantaine>> selectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer >> redémarre ton PC
et
* Fais la mise a jour

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement

* Poste le rapport
0
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
7 juin 2011 à 21:47
Re. deuxième scan effectué pour Malwarebytes ;

rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijbR0xPWs.txt
0
Utilisateur anonyme
7 juin 2011 à 21:53
Salut


1) * Télécharge TFC crée par OldTimer
ICI >> TFC by OldTimer
* Double clique dessus pour le lancer.
* /!\Utilisateurs de Windows Vista et Windows 7
* >> Clique droit sur le logo de TFC.exe « exécuter en tant qu'Administrateur »
* L'outil va fermer tous les programmes lors de son exécution, donc vérifies que tu ais sauvegardé tout ton travail en cours avant de commencer.
* Clique sur le bouton Start pour lancer le processus.
* Laisse le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi même pour finir le nettoyage.


ensuite


2) * Poste un nouveau ZHPDiag

* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
7 juin 2011 à 22:16
Bonsoir,

voici le rapport de ZHP Diag :

http://www.cijoint.fr/cjlink.php?file=cj201106/cij4KtMAvJ.txt
0
Utilisateur anonyme
8 juin 2011 à 15:26
Salut





/!\ ZHPFix /!\


* ferme toutes les applications ouvertes.
* Copies tout le texte présent en gras dans l'encadré ci-dessous
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )



[MD5.00000000000000000000000000000000] [APT] [28fcaa30] (.Pas de propriétaire.) -- C:\Users\Christèle\AppData\Local\Temp\setup2828694576.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [5a208e5c] (.Pas de propriétaire.) -- C:\Users\Christèle\AppData\Local\Temp\setup608664924.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [a367926c] (.Pas de propriétaire.) -- C:\Users\Christèle\AppData\Local\Temp\setup3498721196.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [bc0227f8] (.Pas de propriétaire.) -- C:\Users\Christèle\AppData\Local\Temp\setup652592504.exe (.not file.)
[HKCU\Software\·ÎÄà ÀÀ¿ë ÇÁ·Î±×·¥ ¸¶¹ý»ç¿¡¼­ »ý¼ºµÈ ÀÀ¿ë ÇÁ·Î±×·¥]
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
O64 - Services: CurCS - (.not file.) - 96362820 (96362820) .(...) - LEGACY_96362820
O64 - Services: CurCS - (.not file.) - dd260354 (dd260354) .(...) - LEGACY_DD260354








* Double Clique sur l'icone ZhpFix du bureau pour le lancer ( l icone en forme de seringue) .
* Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Une fois l'outil ZHPFix ouvert ,

* clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .

* Dans l'encadré principal
* tu verras donc les lignes que tu as copié précédemment apparaitre .
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* cliques >> sur le Bouton " GO "

* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport



ensuite

2) *Rends toi sur >> Virustotal
* ICI >>Virustotal


Fais analyser ce fichier


C:\Windows\System32\tafwyfiw.dll.bak




* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

* Sinon >> Colle directement le chemin du fichier ,
dans l'espace>> " Parcourir " :

* Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
Ou en cliquant sur >> View last report et fais un copié/collé du rapport
0
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
8 juin 2011 à 22:24
Bonsoir :

Voici le rapport de ZHP Fix :

Rapport de ZHPFix 1.12.33 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-08-06-2011-22-21-18.txt
Run by Christèle at 08/06/2011 22:21:18
Windows Vista Home Basic Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME HKCU\Software\·ÎÄà ÀÀ¿ë ÇÁ·Î±×·¥ ¸¶¹ý»ç¿¡¼­ »ý¼ºµÈ ÀÀ¿ë ÇÁ·Î±×·¥
SUPPRIME Service Legacy: LEGACY_96362820
SUPPRIME Service Legacy: LEGACY_DD260354

========== Valeur(s) du Registre ==========
SUPPRIME O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0

========== Tache planifiée ==========
SUPPRIME 28fcaa30
SUPPRIME 5a208e5c
SUPPRIME a367926c
SUPPRIME bc0227f8


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Tache planifiée


End of the scan

Je passe à Virustotal
0
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
8 juin 2011 à 22:49
rapport de VirusTotal :

http://www.virustotal.com/file-scan/report.html?id=162edcdd84ed4ce02f71bce0f94f047d31d30894befd0ae261ed9339bc810cb3-1307564727

Merci.
0
Utilisateur anonyme
9 juin 2011 à 18:20
Salut



1) * Télécharge OTM (OldTimer) sur ton Bureau


ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Windows\System32\tafwyfiw.dll.bak

:commands
[emptytemp]
[Reboot]




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log





@+ VIRUS/C/C
0
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
26 juin 2011 à 13:20
Bonjour,

désolé pour cette absence due à des problèmes de santé...

Voici le rapport de OTM :

All processes killed
========== FILES ==========
C:\Windows\System32\tafwyfiw.dll.bak moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Christèle
->Temp folder emptied: 31832 bytes
->Temporary Internet Files folder emptied: 669131 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 36791695 bytes
->Flash cache emptied: 456 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1573100 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 37,00 mb


OTM by OldTimer - Version 3.1.18.0 log created on 06262011_131232

Files moved on Reboot...
File C:\Windows\temp\TMP0000000BDDC6851F78402FF1 not found!

Registry entries deleted on Reboot...
0
Utilisateur anonyme
26 juin 2011 à 13:33
Salut


Bon rétablissement




1) tu as Ccleaner

* Lances CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)




2) * Poste un nouveau ZHPDiag

* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport





@+ VIRUS/C/C
0
Fraf2 Messages postés 65 Date d'inscription dimanche 5 juin 2011 Statut Membre Dernière intervention 15 janvier 2015 5
26 juin 2011 à 21:42
Bonsoir,

J'ai lancé la réparation avec CCleaner, mais une erreur revient à chaque fois (j'ai tenté la réparation au moins 6 ou 7 fois...) : il s'agit d'une extension inconnue, sous forme d'un code hexadécimal (??) :

{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Voici le rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijueItKwF.txt

Merci!
0
Salut



Cette clé >> Légitme >> appartient à >> Avira Antivir !! et de cet fait >> Avira AntiVir la protège.
* Le mieux tu l' Ignores

*Si tu veux l' exclure avec Ccleaner cliques sur >>Options>>Exclure>>Ajouter
* Ajoute la clé du registre :



{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}



je regarderai plus tard dans la journée ton Log ZHPDiag




@+ VIRUS/C/C
0