Sujet Précédent Sujet Suivant

PC infecté

dimanche77 Messages postés 32 Statut Membre -  
 MAT83 -
Bonjour,

depuis hier la connexion Internet se coupe au bout de 10 mn, 1/4h après le démarrage du PC j'ai une fenêtre "Généric Host Process for Win32 Services a rencontré un problème et doit être fermé", puis la barre de tâches de Windows devient pâle, le PC est extrêmement lent et certaines commandes ne répondent plus. J'ai essayé beaucoup de choses ; scan Antivir, outil de suppression de malware de windows, PC Safe Doctor etc. je n'arrive pas à éradiquer ce qui est entré mon pc...

Pourriez-vous m'aider s'il vous plaît ? (j'ai énormément de choses sur mon ordi, en particulier des trucs pour mon boulot).

J'ai suivi ce tuto ici :
https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

1/ démarrage de ZHPDiag ; fenêtre DOS et on me dit que MBR n'a pas été trouvé ou je ne sais plus exactement quel message, j'aurais dû le noter...
Résultats ici : http://www.cijoint.fr/cjlink.php?file=cj201106/cijf5GIfJw.txt

2/ CCleaner : nettoyage fait

3/ impossible de lancer MBAM ; j'ai juste une fenêtre DOS qui se referme aussi rapidement qu'elle est apparue, idem en mode sans échec...

Merci d'avance si vous pouvez m'aider.
A voir également:

48 réponses

Réponse 1 / 48
Utilisateur anonyme
 
ouaip' prends-toi virut ou TDSS dans le MBR on va voir si tu formates et c'est réglé

avant de dire des choses dont on est obsolument sûr faut peut-etre en verifier la véracité !

@dimanche77

fais ce que je t'ai demandé et poste les rapports comme expliqué je ne pourrai te répondre qu'en les lisant
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
3
Réponse 2 / 48
dimanche77 Messages postés 32 Statut Membre
 
désolée de faire un ajout je ne peux éditer mon 1er message
j'oubliais : Antivir me détecte de nombreux fichiers "dangereux" comme TR.Crypt.NSPI.Gen
0
Réponse 3 / 48
Utilisateur anonyme
 
salut

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : télécharger la derniere version

▶ relance-le

choisis : lancer le nettoyage

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.
0
Réponse 4 / 48
dimanche77 Messages postés 32 Statut Membre
 
Merci pour ta réponse rapide

Alors le résultat est : "No threats found". Veux-tu que je copie-colle quand même le rapport ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 48
Utilisateur anonyme
 
non :)

▶ Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 6 / 48
dimanche77 Messages postés 32 Statut Membre
 
Alors à 61% du scan j'ai cette erreur, et depuis ZHPDiag est figé :

"Violation d'accès à l'adresse 7C93128E dans le module 'ntdll.dll' . Lecture de l'adresse 00209000"
0
Réponse 7 / 48
Utilisateur anonyme
 
tu le lances avec le clic droit executer en tant qu'administrateur" ?
0
Réponse 8 / 48
dimanche77 Messages postés 32 Statut Membre
 
Je ne comprends pas j'ai les droits administrateurs... Enfin je l'ai relancé et voici le résultat :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijl00X8uO.txt
0
Réponse 9 / 48
Utilisateur anonyme
 
fais 15 Go de place sur ton disque C:\

============================

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 10 / 48
dimanche77 Messages postés 32 Statut Membre
 
merci
j'ai fait tout ce que tu m'as indiqué, en cours d'exécution de Pre-Scan j'ai ce message :
"Le lecteur n'est pas prêt à être utilisé. Son volet est peut-être ouvert. Vérifiez le lecteur A: et assurez-vous qu'il contient un disque et que son volet est fermé."
> Annuler - Recommencer - Ignorer
0
Réponse 11 / 48
dimanche77 Messages postés 32 Statut Membre
 
coquille... c'était "Continuer" le 3ème choix.
Donc j'ai fait "Continuer" au moins 15 fois (!) parce qu'il bloquait à "Suppression : Mounts 2" ou quelque chose comme ça.

Voici le résultat :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijAKYB2Tx.txt
0
Réponse 12 / 48
Utilisateur anonyme
 
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Program Files\PCSafeDoctor\pcsafedoctor.exe
C:\Program Files\SpyDig\spydig.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

====================================

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\Documents and Settings\Dream\Application Data\Bdxuxv.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\WINDOWS\jodrive32.exe
C:\Documents and Settings\Dream\Application Data\5.tmp
C:\Documents and Settings\Dream\Application Data\6.tmp
C:\Documents and Settings\Dream\Application Data\7.tmp
C:\Documents and Settings\Dream\Application Data\8.tmp
C:\Documents and Settings\Dream\Application Data\9.tmp
C:\Documents and Settings\Dream\Application Data\A.tmp
C:\Documents and Settings\Dream\Application Data\B.tmp
C:\Documents and Settings\Dream\Application Data\C.tmp
C:\Documents and Settings\Dream\Application Data\D.tmp
C:\Documents and Settings\Dream\Application Data\E.tmp
C:\Documents and Settings\All Users\Application Data\addr_file.html

folder::
C:\Program Files\PCSafeDoctor
C:\Documents and Settings\Dream\Application Data\moovida-1
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\Dream\Local Settings\Application Data\moovida Air

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bdxuxv"=-
"12CFG214-K641-12SF-N85P"=-
""=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"SetDefPrt"=-
"ControlCenter2.0"=-
"Microsoft Config Setup"=-
"pcsafedoctor.exe"=-


___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
0
Réponse 13 / 48
dimanche77 Messages postés 32 Statut Membre
 
pcsafedoctor et spydig sont 2 petits scans de virus que j'avais utilisé juste avant de tomber sur ce forum, je dois lancer l'analyse quand même de leurs .exe ?

Voici le résultat de Pre_Script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Dream (Administrateurs)
Ordinateur : D-4F1EF40
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 4.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 21:46:27

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus redémarré

Fin : 21:46:27

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

C'est normal que des fenêtres de l'explorateur se soient ouvertes juste après ? (Mes Documents)
0
dimanche77 Messages postés 32 Statut Membre
 
j'ai oublié de te dire : en voulant faire de l'espace pour faire le pre-scan (suppression programmes gourmands) = écran noir, reboot du pc (eu un peu peur !), puis avant ouverture de Windows : scan Boot = delete de jodrive32.exe
0
Réponse 14 / 48
Utilisateur anonyme
 
tu n'as pas fait comme il le faut pour le script

====================

oui pour les .exe
0
Réponse 15 / 48
dimanche77 Messages postés 32 Statut Membre
 
Ah j'ai compris pourquoi.

Alors voici les résultats du script :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijHzPFEjN.txt

Et spydig.exe :
MD5: e76e6b315e91416de10a70d6f86af7a0
Date first seen: 2011-06-09 01:08:56 (UTC)
Date last seen: 2011-06-12 04:32:04 (UTC)
Detection ratio: 0/42

PCSafedoctor.exe :
MD5: 4e3348c0840853f408079a780c56605a
Date first seen: 2011-06-09 01:04:09 (UTC)
Date last seen: 2011-06-12 04:27:47 (UTC)
Detection ratio: 0/42
0
Réponse 16 / 48
Utilisateur anonyme
 
refais un pre_script mais avec juste ca dedans
_________________________________________
processes::
Bdxuxv.exe

file::
C:\Documents and Settings\Dream\Application Data\Bdxuxv.exe
__________________________________________
0
Réponse 17 / 48
dimanche77 Messages postés 32 Statut Membre
 
C'est fait :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Dream (Administrateurs)
Ordinateur : D-4F1EF40
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 4.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 22:32:44

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

processes::
Bdxuxv.exe

file::
C:\Documents and Settings\Dream\Application Data\Bdxuxv.exe

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤

Non Supprimé : C:\Documents and Settings\Dream\Application Data\Bdxuxv.exe

¤

explorer.exe -> Processus redémarré

Fin : 22:32:44

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Réponse 18 / 48
Utilisateur anonyme
 
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :

( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 19 / 48
dimanche77 Messages postés 32 Statut Membre
 
Bonjour,
voilà j'ai fait le scan complet, il me dit que certains éléments n'ont pas pu être supprimés (il y en avait 38) et il m'a fait rebooter le pc :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijwUivomT.txt

(ps ; je me sers momentanément d'un vieux pc portable pour poster ici, en revenant avec ma clé usb avec le rapport du dernier scan, Antivir me dit qu'il a trouvé un malware sur ma clé usb ; je l'ai fait supprimer - c'est l'horreur ce truc, ça ne s'arrête jamais ?)
0
Réponse 20 / 48
Utilisateur anonyme
 
precise
0