Probablement Infecté... Fermé

Question

Bonjour,...et j'espere être dans la bonne section :)
Probablement infecté par un virus/trojan/vers.

Beaucoup d'application se bloquent  et impossible de faire autre chose que debrancher le pc (portable).
Des messages d'erreur types  : drwtsn.exe /msimm.exe/ ..... etc,j'en oublie.
Surtout le pc s'éteint inopinement, d'un seul coup, tout seul .
Des impossibilité de faire fonctionner l'antivirus,ou de le re-installer par exemple...sans parler de faire un scan...puisque ça peut s'interropre à tout moment :(

Mais bon, apres Avast que j'avais installé, j'ai pris CA Antivirus et finalement j'ai eu un scan complet : rien d'infecté . Meme chose avec les Spyboot et CCleaner.

J'ai fait plusieurs fois CHKDSK, car des messages d'erreur signalaient la necessité de reparation sur le Disque Dur :
Autre chose , il faudrait assainir ce PC sans faire de reinstallation XP , sinon c'est ce que j'aurais fait !
Maintenant voici un scan d'HijackThis , pour les plus callés d'entre vous , si quelqu'un peut me dépanner ou m'orienter c'est avec plaisir ...et je ferais de mon mieux    ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:37, on 05/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\Program Files\Olympus\DeviceDetector\DM1Service.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
F:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Directrec Configuration Tool.lnk = C:\Program Files\Olympus\DeviceDetector\DirectrecConfig.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .xmz: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab
O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: DM1Service - OLYMPUS IMAGING CORP. - C:\Program Files\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
O24 - Desktop Component 0: (no name) - http://www.buta-connection.net/index.php

jlpjlp · Answer

slt,



scan avec 
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 




____________________


 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

jlpjlp · Answer

alors essaye de faire un scan rapide pour voir

nthlrt · Answer

Heu, moi ça me fait penser à un problème identique que j'ai eu et que j'ai résolu de la manière la plus simple qui soit...
En fait surchauffe de ton portable due à une accumulation de poussière au niveau des ventilos (en dessous) donc extinctions intempestives...
J'ai démonté, nettoyé, et depuis plus de soucis... des fois les soucis d'ordi ne sont que "mécanique"...

Unono · Answer

Salut j'ai repris le scan, et surement la derniere fois en mode complet, si ça ne va pas au bout je ferais un scan rapide comme tu le proposes , jlpjlp .
Pour la proposition de poussiere (nthlrt): je me suis orienté sur ça avec un autre portable pour ma fille (un "vieux" toshiba satellite, utilisé pour des jeux pas trop gourmand !) ; j'ai nettoyé etc, bein ça plante de la meme façon "hop" plus rien ; mon avis est que ç'est mecanique sur ce toshiba mais plutot au niveau de l'entrée secteur sur le portable....tres sensible à priori .

Mais tu le vois ça ne fait pas que planter , il y a sur ce portable en question ACER 1360 que je scan actuellement , des messages d'erreur,des application qui se fige , impossible à utiliser etc. mais pourquoi pas 2 problemes en meme temps ... :(

Unono · Answer

Ouf !!! Voici enfin un petit rapport pour un scan Malware ...rapide (et non complet) :

Malwarebytes' Anti-Malware 1.28
Database version: 1230
Windows 5.1.2600 Service Pack 3

06/10/2008 11:34:29
mbam-log-2008-10-06 (11-34-29).txt

Scan type: Quick Scan
Objects scanned: 44630
Time elapsed: 6 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Documents and Settings\catherine\Application Data\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Documents and Settings\catherine\Application Data\DriveCleaner 2006 Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Files Infected:
C:\Documents and Settings\catherine\Application Data\DriveCleaner 2006 Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

jlpjlp · Answer

ok tu avais drive cleaner qui fais bien planter les ordi!!!


essaye maintenant un complet


si impossible:


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Unono · Answer

Un plaisir d'être guidé Jlpjlp  , au moins ça avance !
J'ai déjà lancé Bitdefender ; donc apres ça je repasse un scan Malware complet .
Si impossible je suis ta nouvelle procedure.
A+

jlpjlp · Answer

ok a plus

Unono · Answer

le rapport bitdefender apparait sous forme de tableau ici :


file:///K:/rapport%20Bitdefender.html

désolé pas pu faire copie texte plus claire que si dessous , si ça ne convient pas je refais ce scan


BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Mon, Oct 06, 2008 - 12:19:21

 
	

 
	

 

Voie d'analyse: C:\;D:\;E:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:31:27

Fichiers
	

53404

Directoires
	

5584

Secteurs de boot
	

0

Archives
	

1009

Paquets programmes
	

3930
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

1

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

1
	

 
	

 

Info sur les moteurs

Définition virus
	

1836336

Version des moteurs
	

AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Analyse des plugins
	

16

Archive des plugins
	

43

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

4
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\X4\Telemaintenance\VNC\VNCHooks.dll
	

Détecté avec: Application.Remoteadmin.AU

C:\X4\Telemaintenance\VNC\VNCHooks.dll
	

Echec de la désinfection

C:\X4\Telemaintenance\VNC\VNCHooks.dll
	

Supprimé

jlpjlp · Answer

ok pour vnc c'est peut etre toi qui l'a mis et l'utilise pour prendre controle a distance de ton ordi?




essaye malwarebyte complet pour voir

Unono · Answer

Oui (c'est l'ordi de ma femme ) elle utilise de la telemaintenance pour un logiciel de gestion-orthophonie (ortho4000)

jlpjlp · Answer

aie il faudra peut etre le remettre alors :(

Unono · Answer

Ouïiee, c'est moi qu'elle va taper , toi t'aura meme pas mal  ;) (elle deteste remettre en place ces logiciels ..;etc )
Bon bien je re-essaye une derniere fois l'Antimalware en mode full (plante et replante et re-re-plante et...)
Apres je passe au plan B....bein voila, c'est fait ! A peine je le lance ,et"couac" : (je rie -je pleure-je crie ???)  :))
Plan B
A suivre

jlpjlp · Answer

elle n'avais qu'a pas mettre des infections tenaces :)


passe a combofix et colle le rapport

Unono · Answer

Tiens j'te passe ma chérie : "###&&@1!!!§§ ** ¤¤...##" J'tavais prevenu !! Reprenons j'ai fais une co...., lancé trop vite combofix sans mettre "La console de recuperation" Bon je ne connais pas les incidences s'il y en a : ComboFix 08-10-05.06 - catherine 2008-10-06 14:17:31.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.636 [GMT 2:00] Lancé depuis: F:\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\catherine\err.log C:\WINDOWS\system32\FTPx.dll D:\Autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 )))))))))))))))))))))))))))))))))))) . 2008-10-06 10:32 . 2008-10-06 10:32 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-06 00:04 . 2008-10-06 00:04 d--hs---- C:\found.001 2008-10-05 21:34 . 2008-10-05 21:34 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-05 21:34 . 2008-10-05 21:34 d-------- C:\Documents and Settings\catherine\Application Data\Malwarebytes 2008-10-05 21:34 . 2008-10-05 21:34 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-05 21:34 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-05 21:34 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-04 18:07 . 2008-10-04 18:07 d--hs---- C:\found.000 2008-10-04 12:32 . 2008-10-06 12:22 d-------- C:\WINDOWS\CAVTemp 2008-10-04 12:18 . 2008-10-04 12:20 880,560 --a------ C:\WINDOWS\system32\drivers\vetefile.sys 2008-10-04 12:18 . 2008-10-04 12:20 108,368 --a------ C:\WINDOWS\system32\drivers\veteboot.sys 2008-10-04 12:15 . 2008-10-04 12:15 d-------- C:\Program Files\CA 2008-10-04 12:15 . 2008-10-04 12:15 d-------- C:\Documents and Settings\All Users\Application Data\CA 2008-10-04 12:15 . 2007-04-23 11:36 99,904 --a------ C:\WINDOWS\system32\isafeif.dll 2008-10-04 12:15 . 2007-04-23 11:36 79,424 --a------ C:\WINDOWS\system32\vetredir.dll 2008-10-04 12:15 . 2007-04-30 10:41 75,280 --a------ C:\WINDOWS\system32\isafprod.dll 2008-10-04 12:15 . 2007-04-30 10:41 32,528 --a------ C:\WINDOWS\system32\drivers\vetmonnt.sys 2008-10-04 12:15 . 2007-04-30 10:41 26,640 --a------ C:\WINDOWS\system32\drivers\vet-filt.sys 2008-10-04 12:15 . 2007-04-30 10:41 21,648 --a------ C:\WINDOWS\system32\drivers\vetfddnt.sys 2008-10-04 12:15 . 2007-04-30 10:41 21,392 --a------ C:\WINDOWS\system32\drivers\vet-rec.sys 2008-09-17 11:19 . 2008-09-17 11:19 30,544 --a------ C:\WINDOWS\dirdib.drv 2008-09-17 11:19 . 2008-09-17 11:19 30,464 --a------ C:\WINDOWS\macromix.dll 2008-09-10 17:28 . 2008-10-05 16:36 d-------- C:\Program Files\Panda Security 2008-09-10 17:18 . 2008-10-06 12:19 d-------- C:\WINDOWS\BDOSCAN8 2008-09-10 16:57 . 2008-09-10 16:57 d--h----- C:\WINDOWS\PIF . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-06 12:01 --------- d-----w C:\Program Files\SPAMfighter 2008-10-05 14:24 --------- d-----w C:\Program Files\VideoLAN 2008-10-04 09:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-18 16:30 1,275 ----a-w C:\Documents and Settings\catherine\Application Data\SAS7_000.DAT 2008-09-10 14:55 --------- d-----w C:\Program Files\Dial-a-fix-v0.60.0.24 2008-09-10 13:06 --------- d-----w C:\Program Files\DivX 2008-09-10 12:37 --------- d-----w C:\Program Files\labo 2008-09-03 14:04 91,744 ----a-w C:\WINDOWS\BPMNT.dll 2008-09-03 14:04 1,213,678 ----a-w C:\WINDOWS\vsapi32.dll 2008-09-03 13:47 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2008-09-03 13:47 333,576 ----a-w C:\WINDOWS\TSC.exe 2008-09-03 13:44 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2008-09-03 13:44 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2008-09-03 13:44 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2008-09-03 12:32 --------- d-----w C:\Program Files\Java 2008-09-03 12:28 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-30 14:21 --------- d-----w C:\Program Files\Lavasoft 2008-08-30 14:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-08-23 16:46 --------- d-----w C:\Program Files\Wanadoo 2008-08-22 13:16 --------- d-----w C:\Documents and Settings\catherine\Application Data\vlc 2008-08-21 12:06 --------- d-----w C:\Documents and Settings\catherine\Application Data\DivX 2008-08-21 12:04 --------- d-----w C:\Program Files\Fichiers communs\Ankiro 2008-08-21 12:02 --------- d-----w C:\Program Files\Fichiers communs\Application 2008-08-19 16:06 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-19 14:26 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-07-25 08:34 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:28 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll .

jlpjlp · Answer

ok le rapport est incomplet ! ensuite analyse ceci sur virus total et colle les rapports: https://www.virustotal.com/gui/ C:\found.001 C:\found.000 ________ Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! _______ essaye ensuite de refaire Malwarebyte et dis si encore des soucis

Unono · Answer

voila ce que je recois  pour chacun des 2 fichiers :
 
0 bytes size received / Se ha recibido un archivo vacio

---------------------------------------------
Message de RAV :

Votre Ordinateur est sain 
---------------------------------
ps : Je venais avant ton email , de refaire Malware.., sans meilleur resultat (pour le complet) ça coupe toujours :(

enfin je poursuis...
------------------

Cette fois j'essais Malware en mode normal , je ne sais pas si c'est bien , et formule rapide : ça marche, 0 probleme.
Puis mode full ..."bing" ça plante

La routine quoi  :))

jlpjlp · Answer

essaye sinon de fairemalwarebyte en mode sans echec 

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

_______________


télécharge OTMoveIt 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.  Ou sur  https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 

C:\found.001
C:\found.000 

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 


________________________


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Unono · Answer

j'ai compris le mode sans echec pas de soucis c'etait juste pour voir(j'ai compris que c'est mieux en mode sans  ;)
Bon bein je vois que tu ne fais rien pour me dire  : "arrete,toi 5 mn, prends un café !"
Allez je prends un café et je poursuis :)

Unono · Answer

rapport  :

C:\found.001 moved successfully.
C:\found.000 moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10062008_210342

------------------------------------------

rapport :


[b]SDFix: Version 1.231 [/b]
Run by Administrateur on 06/10/2008 at 21:27
 
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
 
[b]Checking Services [/b]:
 

Restoring Default Security Values
Restoring Default Hosts File
 
Rebooting
 

[b]Checking Files [/b]: 
 
No Trojan Files Found
 
 
 
 
 

Removing Temp Files
 
[b]ADS Check [/b]:
 
 

                                 [b]Final Check [/b]:
 

[b]Remaining Services [/b]:
 
 
 

Authorized Application Key Export:
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\X4\s4.exe"="C:\X4\s4.exe:*:Enabled:C:\X4\s4.exe"
"C:\X4\teltsol.exe"="C:\X4\teltsol.exe:*:Enabled:C:\X4\teltsol.exe"
"C:\X4\TELEMAINTENANCE\Telmaint.exe"="C:\X4\TELEMAINTENANCE\Telmaint.exe:*:Enabled:C:\X4\TELEMAINTENANCE\Telmaint.exe"
"C:\X4\TELEMAINTENANCE\VNC\winvnc.exe"="C:\X4\TELEMAINTENANCE\VNC\winvnc.exe:*:Enabled:C:\X4\TELEMAINTENANCE\VNC\winvnc.exe"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 
[b]Remaining Files [/b]:
 
 
 
[b]Files with Hidden Attributes [/b]:
 
Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 31 Mar 2005            34 ...H. --- "C:\WINDOWS\system32\E5-8dest.dll"
Wed  1 Jan 2003         1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Wed  2 Mar 2005         1,024 ...HR --- "C:\WINDOWS\system32
tiembed.dll"
Wed  2 Mar 2005         1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Thu 31 Mar 2005            17 ...HR --- "C:\WINDOWS\system32ar581.dll"
Thu 31 Mar 2005            18 ...HR --- "C:\WINDOWS\system32ar582.dll"
Thu 31 Mar 2005             7 ...HR --- "C:\WINDOWS\system32ar583.dll"
Thu 31 Mar 2005            10 ...HR --- "C:\WINDOWS\system32\zip581.dll"
Tue  1 Oct 2002             0 ...H. --- "C:\WINDOWS\system32\zip582.dll"
Thu 31 Mar 2005             9 ...HR --- "C:\WINDOWS\system32\zip583.dll"
Tue 19 Aug 2008           228 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1B.tmp"
Tue 19 Aug 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
 
[b]Finished![/b]
 
 


--------------------------------------------------------------------------------
J’utilise la version gratuite de SPAMfighter pour utilisateurs privés.
Jusqu’à présent SPAMfighter a bloqué 814 courriels spam et m’a fait gagner du temps.
Nous avons en ce moment 5.4 millions d’utilisateurs de par le monde entier. 
Les utlisateurs payants n’ont pas ce message. Vous pouvez télécharger la version gratuite

Unono · Answer

Et bien apres plusieurs tentatives de Antimalwareb...sans succes (mode sans echec+ scan complet) ; 
toujours des plantages aleatoires
Dodo

jlpjlp · Answer

aie

peut etre un souci materiel par dessus ....




________________



colle un rapport avec kaspersky en ligne



et super antispyaware

http://www.01net.com/editorial/370512/superantispyware-v4.0/

Unono · Answer

Oui je vais faire ça ,parceque là les scan plantés avec Malwarebyte, ça va :/
à suivre
( et merci dêtre toujours là car c'est loin d'être evident et je n'exclue pas non plus un probleme mecanique)

jlpjlp · Answer

ok

pour le matériel souvent un souci de mémoire vive , : faire memtest:

http://www.world-informatique.com/pasapas/faq/voir.html?qid=48

Unono · Answer

Kapersky n'a rien donné , il ya vait des bug avec sa bibliotheque , alors relance plusieurs scan et finalement c'est IE qui a fait des miseres : probleme avec modules complementaire Real player download...Plus d'IE.
:/
-------------------------------------
Donc j'ai SuperAntispyware, qui m'a trouvé....quelques cookies,
------------------------------------------------
Sans parler des relance Malware, toujours la meme fin à cet episode sans fin ;)
---------------------------------------------------
Alors je suis passé au nettoyage du ventilo qui avaient pas mal bouchonné de poussiere.
--------------------------------------------------------
Et comme ça j'ai inversé les barettes memoires  que j'ai mis il ya quelques temps en remplacement de celle d'origines....les problemes de cet ordi etait anterieur  à ce changement.
Mais la CATASTROPHE 
l'ordi m'affichait sa page d'erreur sur fond bleu, celle que je vois jamais tellement elle va trop vite à chaque plantage . comme ça j'ai eu le temps de noter et de la prendre en photo pour l'encadrer bien sur , quand ce "cauchemard" finira :))
------------------------------------------------
Enfin j'ai la page d'erreur (bleu) :
Me dit que (résumé) :
Windows  arrete l'ordi pour le mettre en protection
Si cette page d'erreur s'affiche +d'une fois faire ceci =
verifier l'espace disque (y'en a)
si un pilote est identifié dans le message d'erreur desactivez le ;
Contacter fabriquant pour MAJ du pilote.
Remplacer la carte video 
Consultez revendeur materiel pour MAJ du BIOS
Desactivez options memoires du Bios (ombrage et mise en cache)
Il me dit comment demarrer en MSEchec
Puis 
Info technique :
STOP : 0x0000008E  ( 0X00000092  ,  0X0804E2408  ,  0XF7129C68  ,  0XC0000000  )

Debut vidage memoire physique, vidage terminé, contactez votre administrateur systeme etc
--------------------------------

Apres je ne rigolais plus car l'ordi se lancait sans depasser la page Windows avant le choix des sessions et le bureau. Donc le plantage tournais en boucle et pareil en mode sans echec impossible d'atteindre le bureau (il ye n a que ça ferait rever ! ))
J'ai cru que j'allais partir aux urgences.
Mais j'ai remis les barettes à leur place (pourtant ce sont strictement les meme)... et ça marche...comme avant, avec les plantages.
Alors la , je viens de remettre les barettes d'origine et re-Malware en MSEchec .

 a suivre 
-----------------------------------------------------------
Concernant le test barette memoire ça me fait un peur cette histoire de disquette / cd pour faire un boot, je crains me rater sur quelque chose.
------------------------------------------------------------------

jlpjlp · Answer

sinon vire une des deux barettes pour voir si avec l'une il y a plantage et pas avec l'autre

dans ce cas u saura quelle barette virer

Unono · Answer

La j'ai donc remis les barettes d'origines (2X256mo), et relancé Malwar en MSE et comme ça n'a jamais été aussi loin  (1h12 wouha !), je croise les doigts !
et je pense que l'instabilité vient de la .
Mais je prefere être sur .
Apres le scan ,je ferais comme tu dis et je testerais l'une et l'autre des 2X512mo
------------------------
le scan Malware n'a rien trouvé

jlpjlp · Answer

oui sinon essaye a tour de role tes memoire de 512 


tu passe une heure avec l'une puis une heure avec l'autre comme cela tu sera laquelle ne marche pas

sinon fais memtest a graver en iso sur un cd reinscriptible par exemple avec le bon logiciel deep burner et demarre depuis le cd

Unono · Answer

J'ai testé les 512 à tour de role avec mon testeur favoris (malwarebyte ) et l'une d'elle fait planter .
Mince alors c'est une tres bonne nouvelle  ;)
Maintenant je reteste la bonne de 512 avec une 256 , et j'aimerais quand mem remettre 2X512 ; Est-ce que c'est mieux de mettre 2X512 identiques (meme "marque" etc) ou je peux racheter une seul 512  ??

Je vais redonner son bébé  à ma cherie et je verrais si en l'utilisant il y a des problemes.

Que conseillerais tu en protection (Antivirus,pare-feu , anty spy etc...)j'ai tendance  à prendre du gratuit : Zone Alarm, Avast , Spyboot etc etc ?

jlpjlp · Answer

il est preferable d'avoir des memoire vive de marque et identique mais   en général des memoires differentes marchent





pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

(AVAST en français )  ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT 
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

Unono · Answer

C'est noté ! 
En fait j'utilise dejà  la pluspart, je vais voir tout ça .
Merci encore  pour ton aide jlpjlp
:)

Probablement Infecté...

31 réponses

Discussions similaires