XP : Barre des taches en sablier. Ctrl+Alt+Supp inactif. Malware ?

XP : Barre des taches en sablier. Ctrl+Alt+Supp inactif. Malware ? - Virus/Spywares - Windows & Software

Marsh Posté le 13-06-2010 à 06:20:32    

Bonjour,
 
Merci d'avance à ceux qui pourrez m'aider car je désespère de l'assistance de BitDefender.
 
Ma config
 
Windows XP Edition Familiale SP3.  
Ma solution sécurité habituel est BitDefender Internet security 2009 jusqu'ici que je viens d'ugrader en 2010 sur demande du support.
Je fais les mises à jour des signatures en auto et la même chose sur windows.
 
Le problème
 
Le problème premier est que j'ai télécharger un truc bétement que j'aurais pas dû.
BitDefender à tout de suite détecté un virus Trojan.IEBooot.E et à mis une quinzaine de fichier en quarantaine.
BitDefender a aussi supprimé firefox.exe. Je ne me souviens plus de la raison mais j'étais triste  :D  
 
Je pensais que tout était sous contrôle et que je m'en été tiré à bon compte car mon analyse appronfondie était OK.
A l'allumage suivant j'avais les symptômes :
- Barre des tâche inutilisable car sablier complet
- Ctrl+Alt+Supp ne fonctionne pas
- La souris n'arrive pas toujours à passer devant les fenêtres ouvertes
- Aucun soucis en mode sans échec ni en mode sans échec avec prise en charge du réseau (cela me permet de vous écrire)
 
Mes actions
 
Utilisation BitDefender Rescue CD (CD Bootable Linux) pour faire une analyse. Non sans mal  (2 nuits pour le faire fonctionner correctement) Il a trouvé et supprimé un fichier dans le répertoire Firefox. Auncun changement.
J'ai utilisé Spybot S&D. Il a trouvé des choses mais plutôt syware.
HiJackThis.exe + analyse du Log HiJackThis.de/fr. J'ai supprimé tout ce qui était rouge et jaune. Il ne reste que du vert.
Mail au support BitDefender qui m'a juste renvoyé un e-mail 5 minutes après avec procédure pour passer de BD2009 à BD2010 (automate?)
Même résultat avec la nouvelle version (mode manuel en Windows sans echec) -> il ne trouve rien. Depuis j'attends.
 
Quelqu'un pourrait-il m'aider ?
Merci d'avance en tout cas à ceux qui vont s'intéresser à mon cas.
 
Bleuzaille.


Message édité par Bleuzaille le 13-06-2010 à 06:25:25
Reply

Marsh Posté le 13-06-2010 à 06:20:32   

Reply

Marsh Posté le 13-06-2010 à 20:30:23    

Salut,
 
Pour ton information, supprimer des lignes avec HijackThis ne supprimera jamais une infection.
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 14-06-2010 à 00:55:09    

Salut Malwarebleach,
 
Merci de consacrer du temps à mon probème.
Voici le lien : http://www.cijoint.fr/cjlink.php?f [...] bgfOKg.txt
 
A bientôt.

Reply

Marsh Posté le 14-06-2010 à 01:10:54    

re,
 
 
/!\ Désactive tous tes logiciels de protection /!\
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.


Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
 
 
 
 
 

Reply

Marsh Posté le 14-06-2010 à 07:30:45    

Bonjour
 
Voici le lien : http://www.cijoint.fr/cjlink.php?f [...] aP7KEr.txt
Je rappelle que je tourne toujours en mode sans échec. Est-ce que cela pose un problème pour les analyses ?
 
Bonne journée

Reply

Marsh Posté le 14-06-2010 à 18:00:16    

Salut,
 
J'ai besoin d'une réponse claire et franche de ta part, la version de windows XP installée sur ton ordinateur est-elle officielle ?

Reply

Marsh Posté le 14-06-2010 à 19:13:49    


 
Hello,
Pas de soucis, c'est une question légitime. C'est une version tout ce qu'il y a de plus légale achetée en janvier 2009 rue montgallet en oem  avec les pièces de mon pc. Je peux scanner la facture et te l'envoyer par mp si besoin.
Qu'est-ce qui te fait penser le contraire ?

Reply

Marsh Posté le 14-06-2010 à 19:31:21    

Re,
 
Merci pour ta réponse.
 
Ce qui me fais penser à une version non officielle c'est l'analyse sigcheck effectuée par combofix. Elle montre que tu as pas mal de fichiers systèmes non signés numériquement par windows. Cela ne veut pas dire forcément que la version est non officielle mais qu'elle peut être modifiée fortement ou encore tu as utilisé un thème installé par un logiciel qui patche les fichiers systèmes.
Peut être es-tu un fondu de personnalisation  :D  
 
Dans ce cas, tu peux stp passer ces deux fichier sur virustotal :
 
atapi.sys
winlogon.exe
 

  • rends toi sur Virustoatal
  • dans le champ parcourir saisis le chemin vers les fichiers suivant :c:\windows\system32\dllcache\atapi.sys


  • clique sur envoyer le fichier  


 
Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). Il faut demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 
Fais la même chose pour : c:\windows\system32\winlogon.exe
 

  • héberge ensuite les rapport  sur cijoint.fr et poste moi les liens


Attention il sera peut être nécessaire d'afficher les dossiers et fichiers cachés avant le passage sur virustotal.
 

Reply

Marsh Posté le 14-06-2010 à 20:42:41    

Encore moi.
 
Je suis carrément scié car je suis pas un fan des thèmes et je modifie pas Windows. J'ai encore la petite colline du premier jour en fond d'écran c'est dire ...
 
En ce qui concerne notre problème principal voilà le atapi.sys
http://www.cijoint.fr/cjlink.php?f [...] 7CGLWA.rtf
 
Et le winlogon.exe
http://www.cijoint.fr/cjlink.php?f [...] WGJ80Z.rtf
 
J'ai fait le mieux possible pour la présentation j'espère que c'est assez clair.
 
Je suis moi-même pas le plus nul en micro, mais ce que vous faite de m'extraire d'un fratras d'infos juste les deux fichiers louches, je suis admiratif.
C'est quasiment magique. Vous m'apprendrez après ? A devenir magicien ?

Reply

Marsh Posté le 14-06-2010 à 21:02:38    

Citation :

Je suis carrément scié car je suis pas un fan des thèmes et je modifie pas Windows. J'ai encore la petite colline du premier jour en fond d'écran c'est dire ...


 
M'ouais et pourtant y'a un truc qui cloche quelques part !!?? :heink:  
 

Citation :

J'ai fait le mieux possible pour la présentation j'espère que c'est assez clair.


 
tu t'es bien débrouillé, sur bloc-notes la présentation est moindre, mais c'est aussi efficace  :whistle:  
 

Citation :

Je suis moi-même pas le plus nul en micro, mais ce que vous faite de m'extraire d'un fratras d'infos juste les deux fichiers louches, je suis admiratif.
C'est quasiment magique. Vous m'apprendrez après ? A devenir magicien ?


 
Ecoutes, tu vas être déçu, j'ai pris au hasard c'est deux fichiers sur le sigcheck de combofix, pas contre si tu es intéressé par la désinfection, j'ai une bonne adresse pour une formation en ligne  ;)  
 
virustotal ne donne rien !!
 
J'ai vu que tu avais malwarebytes installé sur ton pc, certes il sera mon performant en détection en MSE, mais tu va faire un scan avec lui.
 
Mets le à jour et scan ton ordinateur en mode d'examen complet, bien sur j'aurais besoin du rapport généré histoire de me faire une idée.
 
De mon côté, je vais donner le lien de ton sujet à deux ou trois connaissances, histoire d'augmenter le nombre de magiciens et tes chances de désinfecter ton pc. :D

Reply

Marsh Posté le 14-06-2010 à 21:02:38   

Reply

Marsh Posté le 14-06-2010 à 21:26:16    

Bon là j'ai l'air un peu bête parce que je l'ai lancé ce matin.
Je pensais que ce serais la question qui suivrait et je l'avais préparée.
Puis j'ai été perturbé par cette histoire de XP non officiel et j'ai oublié d'en parler.
 
Donc une bonne et une mauvaise nouvelle.
La bonne : Il a trouvé un trojan.
La mauvaise : cela ne résoud pas mon problème...
 
Le log : http://www.cijoint.fr/cjlink.php?f [...] Runls1.txt
 
C'est grave docteur ?
 
 
 

Reply

Marsh Posté le 14-06-2010 à 22:17:43    

Ce n'est pas forcément une bonne nouvelle...
 
Le fichier détecté par mbam => ubiorbitapi_r2.dll  vient du crack que tu as utilisé pour jouer à assassins creed II, très bon jeu je te l'accorde, mais voilà le résultat...  
 
J'ai bien aimé le premier volet quoi que la jouabilité est répétitive, pas encore essayé le II. Mais je compte l'acheter sous peu.
 
Je pense sérieusement que tu as utilisé un crack vérolé pour installer l'un de tes jeux d'où tes problèmes avec ton pc. (encore une fois, je peux me tromper, mais pas si sur)
 
 
Tu vas tenter ceci : (il faut te munir du cd d'installation de XP)
 


  • Redémarre ton pc


Au redémarrage, fais ceci :
 

  • cliques sur démarrer  
  • puis sur Exécuter
  • Tapes ou copie/colle la commande =>   sfc /scannow
  • laisse le scan s'effectuer et s'il te le demande insère le cd d'XP
  • Redémarre ton ordinateur


  • fais un nouveau scan avec combofix et accepte l'installation de la console de récupération à la demande si elle n'est pas présente sur ton ordinateur.


Bon courage, j'attends donc avec impatience le nouveau rapport de combofix... :sol:  
 
 

Reply

Marsh Posté le 14-06-2010 à 23:14:36    

OK. Tu as percé mon secret à jour. :(  
C'est effectivement un super jeu et je te le recommande très chaudement.
 
C'est possible ce que tu me dit, mais j'ai quand même des doutes. Ce jeu est installé depuis deux mois.
Je n'ai des problème que depuis 1 semaine.
 
Je fais ce que tu m'as demandé de suite.

Reply

Marsh Posté le 14-06-2010 à 23:24:47    

J'ai un soucis : lors de l'éxécution de la commande sfc /scannow
j'ai le message d'erreur suivant :
 
La protection des fichiers Windows n'as pas pu démarrer une analyse des fichiers système protégés.
Le code d'erreur spécifique est 0x000006ba [Le serveur RPC n'est pas disponible ]
 
Je vais essayer de me créer un .bat pour le lancer en mode normal.

Reply

Marsh Posté le 14-06-2010 à 23:33:16    

okay,
 
une solution ici sinon => http://forum.hardware.fr/hfr/Windo [...] 0638_1.htm
 
Juste une histoire de service !

Reply

Marsh Posté le 15-06-2010 à 00:18:00    

Ca se corse.
J'ai passé avec succès le pb du sfc / scannow (avec mon fichier bat sur le bureau.
J'ai rebooté
 
Maintenant quand j'essaye de lancer combofix il m'averti que le scanner de BitDefender est actif.
C'est bizzare je suis en mode sans échec et je ne trouve pas trace de BitDefender dans les processus qui tournent.
J'ai rebooté deux foix.
 
Je passe en force avec ComboFix ?

Reply

Marsh Posté le 15-06-2010 à 00:25:55    

Liste des processus qui tournent :
explorer.exe
iexplore.exe
svchost.exe (x4)
ctfmon.exe
lsass.exe
services.exe (aucuns des 4 service Bitdefender n'est démarrés)
winlogon.exe
csrss.exe
smss.exe
System
 
Quest-ce que je dois couper ?

Reply

Marsh Posté le 15-06-2010 à 22:59:41    

Salut,
 
Je ne connais pas ton AV, mais as tu essayé de voir dans services.msc pour désactiver ceux correspondants à ton AV ?

Reply

Marsh Posté le 15-06-2010 à 23:23:05    

Bonsoir,
 
Merci encore du temps que tu me consacres.
 
Il y a 4 services qui commence par BitDefender... et ils étaient tous désactivés.
J'ai regardé tous les  services actif et je n'ai rien trouvé qui ressemble à BitDefender.
 
Je n'ai malheureusement pas accès à mon ordi ce soir.
Je referai un test demain en revérifiant tout. Il y a forcément une explication logique.
 
Je devrais donner des nouvelles au alentour de 21h30.
Au fait, je suis interressé pour la formation en ligne. Je n'irai peut-être jamais jusqu'à l'étape magicien level 60 mais j'aimerais bien comprendre un peu plus tout cela.  
 
Bonne soirée.

Reply

Marsh Posté le 15-06-2010 à 23:28:15    

Re,  
 
Ben écoute, au pire désinstalle l'antivirus si tu peux le réinstaller par la suite ou force le démarrage de combofix, on verra bien le résultat...
 
Sinon pour la formation pas de problème, je te donne ça plus tard.


Message édité par Profil supprimé le 15-06-2010 à 23:28:57
Reply

Marsh Posté le 15-06-2010 à 23:36:42    

Hello,
 
C'est une bonne idée, si je m'en sort pas je désinstallerai l'anti-virus.

Reply

Marsh Posté le 16-06-2010 à 22:06:49    

Bonsoir,
 
Bit Defender désinstallé.
Voici le nouveau report ComboFix.  
http://www.cijoint.fr/cjlink.php?f [...] fhxp1Z.txt
 
Bonne lecture.

Reply

Marsh Posté le 17-06-2010 à 18:28:24    

Salut,  
 
Me voilà enfin,...
 
Tu vas exécuter quelques manips :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour l'ordinateur de Bleuzaille, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier CFScript
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous :
 
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
 
Ensuite :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
O64 - Services: CurCS - (.not file.) - 000dd840 (000dd840) .(.Pas de propriétaire - Pas de description.) - LEGACY_000DD840
O64 - Services: CurCS - (.not file.) - 01a3e373 (01a3e373) .(.Pas de propriétaire - Pas de description.) - LEGACY_01A3E373
O64 - Services: CurCS - (.not file.) - 0219f250 (0219f250) .(.Pas de propriétaire - Pas de description.) - LEGACY_0219F250
O64 - Services: CurCS - (.not file.) - 021b7f05 (021b7f05) .(.Pas de propriétaire - Pas de description.) - LEGACY_021B7F05
O64 - Services: CurCS - (.not file.) - 031850e0 (031850e0) .(.Pas de propriétaire - Pas de description.) - LEGACY_031850E0
O64 - Services: CurCS - (.not file.) - 039c009d (039c009d) .(.Pas de propriétaire - Pas de description.) - LEGACY_039C009D
O64 - Services: CurCS - (.not file.) - 03fb9c1d (03fb9c1d) .(.Pas de propriétaire - Pas de description.) - LEGACY_03FB9C1D
O64 - Services: CurCS - (.not file.) - 06fb4217 (06fb4217) .(.Pas de propriétaire - Pas de description.) - LEGACY_06FB4217
O64 - Services: CurCS - (.not file.) - 0943ac78 (0943ac78) .(.Pas de propriétaire - Pas de description.) - LEGACY_0943AC78
O64 - Services: CurCS - (.not file.) - 0a754cd1 (0a754cd1) .(.Pas de propriétaire - Pas de description.) - LEGACY_0A754CD1
O64 - Services: CurCS - (.not file.) - 0b41d42d (0b41d42d) .(.Pas de propriétaire - Pas de description.) - LEGACY_0B41D42D
O64 - Services: CurCS - (.not file.) - 0b681d4a (0b681d4a) .(.Pas de propriétaire - Pas de description.) - LEGACY_0B681D4A
O64 - Services: CurCS - (.not file.) - 0b887e67 (0b887e67) .(.Pas de propriétaire - Pas de description.) - LEGACY_0B887E67
O64 - Services: CurCS - (.not file.) - 0bac0b68 (0bac0b68) .(.Pas de propriétaire - Pas de description.) - LEGACY_0BAC0B68
O64 - Services: CurCS - (.not file.) - 0bf5f85c (0bf5f85c) .(.Pas de propriétaire - Pas de description.) - LEGACY_0BF5F85C
O64 - Services: CurCS - (.not file.) - 0bf89c07 (0bf89c07) .(.Pas de propriétaire - Pas de description.) - LEGACY_0BF89C07
O64 - Services: CurCS - (.not file.) - 0ec99eb2 (0ec99eb2) .(.Pas de propriétaire - Pas de description.) - LEGACY_0EC99EB2
O64 - Services: CurCS - (.not file.) - 11063ac2 (11063ac2) .(.Pas de propriétaire - Pas de description.) - LEGACY_11063AC2
O64 - Services: CurCS - (.not file.) - 1206fb0b (1206fb0b) .(.Pas de propriétaire - Pas de description.) - LEGACY_1206FB0B
O64 - Services: CurCS - (.not file.) - 123ac2c0 (123ac2c0) .(.Pas de propriétaire - Pas de description.) - LEGACY_123AC2C0
O64 - Services: CurCS - (.not file.) - 1271ef45 (1271ef45) .(.Pas de propriétaire - Pas de description.) - LEGACY_1271EF45
O64 - Services: CurCS - (.not file.) - 130a1b09 (130a1b09) .(.Pas de propriétaire - Pas de description.) - LEGACY_130A1B09
O64 - Services: CurCS - (.not file.) - 15de28bd (15de28bd) .(.Pas de propriétaire - Pas de description.) - LEGACY_15DE28BD
O64 - Services: CurCS - (.not file.) - 1611bf5d (1611bf5d) .(.Pas de propriétaire - Pas de description.) - LEGACY_1611BF5D
O64 - Services: CurCS - (.not file.) - 17500814 (17500814) .(.Pas de propriétaire - Pas de description.) - LEGACY_17500814
O64 - Services: CurCS - (.not file.) - 1787bfad (1787bfad) .(.Pas de propriétaire - Pas de description.) - LEGACY_1787BFAD
O64 - Services: CurCS - (.not file.) - 17cd5caf (17cd5caf) .(.Pas de propriétaire - Pas de description.) - LEGACY_17CD5CAF
O64 - Services: CurCS - (.not file.) - 18ccacf2 (18ccacf2) .(.Pas de propriétaire - Pas de description.) - LEGACY_18CCACF2
O64 - Services: CurCS - (.not file.) - 1adbd950 (1adbd950) .(.Pas de propriétaire - Pas de description.) - LEGACY_1ADBD950
O64 - Services: CurCS - (.not file.) - 1b40c7de (1b40c7de) .(.Pas de propriétaire - Pas de description.) - LEGACY_1B40C7DE
O64 - Services: CurCS - (.not file.) - 1d406828 (1d406828) .(.Pas de propriétaire - Pas de description.) - LEGACY_1D406828
O64 - Services: CurCS - (.not file.) - No object (2522c444) .(.Pas de propriétaire - Pas de description.) - LEGACY_2522C444
O64 - Services: CurCS - (.not file.) - 2558bfaa (2558bfaa) .(.Pas de propriétaire - Pas de description.) - LEGACY_2558BFAA
O64 - Services: CurCS - (.not file.) - 25d17f0a (25d17f0a) .(.Pas de propriétaire - Pas de description.) - LEGACY_25D17F0A
O64 - Services: CurCS - (.not file.) - No object (276e763b) .(.Pas de propriétaire - Pas de description.) - LEGACY_276E763B
O64 - Services: CurCS - (.not file.) - 285771ec (285771ec) .(.Pas de propriétaire - Pas de description.) - LEGACY_285771EC
O64 - Services: CurCS - (.not file.) - 28fb0b68 (28fb0b68) .(.Pas de propriétaire - Pas de description.) - LEGACY_28FB0B68
O64 - Services: CurCS - (.not file.) - 2c177925 (2c177925) .(.Pas de propriétaire - Pas de description.) - LEGACY_2C177925
O64 - Services: CurCS - (.not file.) - 2c7abbde (2c7abbde) .(.Pas de propriétaire - Pas de description.) - LEGACY_2C7ABBDE
O64 - Services: CurCS - (.not file.) - 2dacbe4e (2dacbe4e) .(.Pas de propriétaire - Pas de description.) - LEGACY_2DACBE4E
O64 - Services: CurCS - (.not file.) - 33531a94 (33531a94) .(.Pas de propriétaire - Pas de description.) - LEGACY_33531A94
O64 - Services: CurCS - (.not file.) - 35c0b9f8 (35c0b9f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_35C0B9F8
O64 - Services: CurCS - (.not file.) - 36981640 (36981640) .(.Pas de propriétaire - Pas de description.) - LEGACY_36981640
O64 - Services: CurCS - (.not file.) - 3a50ac6d (3a50ac6d) .(.Pas de propriétaire - Pas de description.) - LEGACY_3A50AC6D
O64 - Services: CurCS - (.not file.) - 3b6efca1 (3b6efca1) .(.Pas de propriétaire - Pas de description.) - LEGACY_3B6EFCA1
O64 - Services: CurCS - (.not file.) - No object (40d3d2b3) .(.Pas de propriétaire - Pas de description.) - LEGACY_40D3D2B3
O64 - Services: CurCS - (.not file.) - 4130f0d9 (4130f0d9) .(.Pas de propriétaire - Pas de description.) - LEGACY_4130F0D9
O64 - Services: CurCS - (.not file.) - 41a297ad (41a297ad) .(.Pas de propriétaire - Pas de description.) - LEGACY_41A297AD
O64 - Services: CurCS - (.not file.) - 4217a2fb (4217a2fb) .(.Pas de propriétaire - Pas de description.) - LEGACY_4217A2FB
O64 - Services: CurCS - (.not file.) - 422c061b (422c061b) .(.Pas de propriétaire - Pas de description.) - LEGACY_422C061B
O64 - Services: CurCS - (.not file.) - 422c7a33 (422c7a33) .(.Pas de propriétaire - Pas de description.) - LEGACY_422C7A33
O64 - Services: CurCS - (.not file.) - 45215841 (45215841) .(.Pas de propriétaire - Pas de description.) - LEGACY_45215841
O64 - Services: CurCS - (.not file.) - 4677806f (4677806f) .(.Pas de propriétaire - Pas de description.) - LEGACY_4677806F
O64 - Services: CurCS - (.not file.) - 46785ef3 (46785ef3) .(.Pas de propriétaire - Pas de description.) - LEGACY_46785EF3
O64 - Services: CurCS - (.not file.) - 4694c7ac (4694c7ac) .(.Pas de propriétaire - Pas de description.) - LEGACY_4694C7AC
O64 - Services: CurCS - (.not file.) - 46fd750e (46fd750e) .(.Pas de propriétaire - Pas de description.) - LEGACY_46FD750E
O64 - Services: CurCS - (.not file.) - 47a80898 (47a80898) .(.Pas de propriétaire - Pas de description.) - LEGACY_47A80898
O64 - Services: CurCS - (.not file.) - 49b11b38 (49b11b38) .(.Pas de propriétaire - Pas de description.) - LEGACY_49B11B38
O64 - Services: CurCS - (.not file.) - 49b1780b (49b1780b) .(.Pas de propriétaire - Pas de description.) - LEGACY_49B1780B
O64 - Services: CurCS - (.not file.) - 49b17817 (49b17817) .(.Pas de propriétaire - Pas de description.) - LEGACY_49B17817
O64 - Services: CurCS - (.not file.) - 4a08f6cb (4a08f6cb) .(.Pas de propriétaire - Pas de description.) - LEGACY_4A08F6CB
O64 - Services: CurCS - (.not file.) - 4a429111 (4a429111) .(.Pas de propriétaire - Pas de description.) - LEGACY_4A429111
O64 - Services: CurCS - (.not file.) - 4a4f1b1d (4a4f1b1d) .(.Pas de propriétaire - Pas de description.) - LEGACY_4A4F1B1D
O64 - Services: CurCS - (.not file.) - 4accc984 (4accc984) .(.Pas de propriétaire - Pas de description.) - LEGACY_4ACCC984
O64 - Services: CurCS - (.not file.) - 4ae2cb1a (4ae2cb1a) .(.Pas de propriétaire - Pas de description.) - LEGACY_4AE2CB1A
O64 - Services: CurCS - (.not file.) - 4e36fed9 (4e36fed9) .(.Pas de propriétaire - Pas de description.) - LEGACY_4E36FED9
O64 - Services: CurCS - (.not file.) - 4fe98828 (4fe98828) .(.Pas de propriétaire - Pas de description.) - LEGACY_4FE98828
O64 - Services: CurCS - (.not file.) - 506cc22c (506cc22c) .(.Pas de propriétaire - Pas de description.) - LEGACY_506CC22C
O64 - Services: CurCS - (.not file.) - 53420b6a (53420b6a) .(.Pas de propriétaire - Pas de description.) - LEGACY_53420B6A
O64 - Services: CurCS - (.not file.) - 5487bfad (5487bfad) .(.Pas de propriétaire - Pas de description.) - LEGACY_5487BFAD
O64 - Services: CurCS - (.not file.) - 5b7b1a45 (5b7b1a45) .(.Pas de propriétaire - Pas de description.) - LEGACY_5B7B1A45
O64 - Services: CurCS - (.not file.) - 5bfb6f1b (5bfb6f1b) .(.Pas de propriétaire - Pas de description.) - LEGACY_5BFB6F1B
O64 - Services: CurCS - (.not file.) - 6695cecd (6695cecd) .(.Pas de propriétaire - Pas de description.) - LEGACY_6695CECD
O64 - Services: CurCS - (.not file.) - 67411fc9 (67411fc9) .(.Pas de propriétaire - Pas de description.) - LEGACY_67411FC9
O64 - Services: CurCS - (.not file.) - 69286e9f (69286e9f) .(.Pas de propriétaire - Pas de description.) - LEGACY_69286E9F
O64 - Services: CurCS - (.not file.) - 6a48accc (6a48accc) .(.Pas de propriétaire - Pas de description.) - LEGACY_6A48ACCC
O64 - Services: CurCS - (.not file.) - 6b417f05 (6b417f05) .(.Pas de propriétaire - Pas de description.) - LEGACY_6B417F05
O64 - Services: CurCS - (.not file.) - 6b78be36 (6b78be36) .(.Pas de propriétaire - Pas de description.) - LEGACY_6B78BE36
O64 - Services: CurCS - (.not file.) - 6bd8f657 (6bd8f657) .(.Pas de propriétaire - Pas de description.) - LEGACY_6BD8F657
O64 - Services: CurCS - (.not file.) - 6cf133f6 (6cf133f6) .(.Pas de propriétaire - Pas de description.) - LEGACY_6CF133F6
O64 - Services: CurCS - (.not file.) - 6dacefc4 (6dacefc4) .(.Pas de propriétaire - Pas de description.) - LEGACY_6DACEFC4
O64 - Services: CurCS - (.not file.) - 6e7821a4 (6e7821a4) .(.Pas de propriétaire - Pas de description.) - LEGACY_6E7821A4
O64 - Services: CurCS - (.not file.) - 6e9df01d (6e9df01d) .(.Pas de propriétaire - Pas de description.) - LEGACY_6E9DF01D
O64 - Services: CurCS - (.not file.) - 71289fa2 (71289fa2) .(.Pas de propriétaire - Pas de description.) - LEGACY_71289FA2
O64 - Services: CurCS - (.not file.) - 76a79939 (76a79939) .(.Pas de propriétaire - Pas de description.) - LEGACY_76A79939
O64 - Services: CurCS - (.not file.) - 777f21af (777f21af) .(.Pas de propriétaire - Pas de description.) - LEGACY_777F21AF
O64 - Services: CurCS - (.not file.) - 77ac6d4e (77ac6d4e) .(.Pas de propriétaire - Pas de description.) - LEGACY_77AC6D4E
O64 - Services: CurCS - (.not file.) - 780bf89c (780bf89c) .(.Pas de propriétaire - Pas de description.) - LEGACY_780BF89C
O64 - Services: CurCS - (.not file.) - 7f059c03 (7f059c03) .(.Pas de propriétaire - Pas de description.) - LEGACY_7F059C03
O64 - Services: CurCS - (.not file.) - 7f21ed69 (7f21ed69) .(.Pas de propriétaire - Pas de description.) - LEGACY_7F21ED69
O64 - Services: CurCS - (.not file.) - 7f785433 (7f785433) .(.Pas de propriétaire - Pas de description.) - LEGACY_7F785433
O64 - Services: CurCS - (.not file.) - 7f85e0e5 (7f85e0e5) .(.Pas de propriétaire - Pas de description.) - LEGACY_7F85E0E5
O64 - Services: CurCS - (.not file.) - 7fc44645 (7fc44645) .(.Pas de propriétaire - Pas de description.) - LEGACY_7FC44645
O64 - Services: CurCS - (.not file.) - 7fd25636 (7fd25636) .(.Pas de propriétaire - Pas de description.) - LEGACY_7FD25636
O64 - Services: CurCS - (.not file.) - 80f01d77 (80f01d77) .(.Pas de propriétaire - Pas de description.) - LEGACY_80F01D77
O64 - Services: CurCS - (.not file.) - 83348590 (83348590) .(.Pas de propriétaire - Pas de description.) - LEGACY_83348590
O64 - Services: CurCS - (.not file.) - 854ffa58 (854ffa58) .(.Pas de propriétaire - Pas de description.) - LEGACY_854FFA58
O64 - Services: CurCS - (.not file.) - 87a6c591 (87a6c591) .(.Pas de propriétaire - Pas de description.) - LEGACY_87A6C591
O64 - Services: CurCS - (.not file.) - 8dfb2dee (8dfb2dee) .(.Pas de propriétaire - Pas de description.) - LEGACY_8DFB2DEE
O64 - Services: CurCS - (.not file.) - 9082485b (9082485b) .(.Pas de propriétaire - Pas de description.) - LEGACY_9082485B
O64 - Services: CurCS - (.not file.) - 96874264 (96874264) .(.Pas de propriétaire - Pas de description.) - LEGACY_96874264
O64 - Services: CurCS - (.not file.) - 982dee5c (982dee5c) .(.Pas de propriétaire - Pas de description.) - LEGACY_982DEE5C
O64 - Services: CurCS - (.not file.) - 9b654d3c (9b654d3c) .(.Pas de propriétaire - Pas de description.) - LEGACY_9B654D3C
O64 - Services: CurCS - (.not file.) - 9c03b141 (9c03b141) .(.Pas de propriétaire - Pas de description.) - LEGACY_9C03B141
O64 - Services: CurCS - (.not file.) - 9c7f0980 (9c7f0980) .(.Pas de propriétaire - Pas de description.) - LEGACY_9C7F0980
O64 - Services: CurCS - (.not file.) - a2fb0b9c (a2fb0b9c) .(.Pas de propriétaire - Pas de description.) - LEGACY_A2FB0B9C
O64 - Services: CurCS - (.not file.) - af6a8742 (af6a8742) .(.Pas de propriétaire - Pas de description.) - LEGACY_AF6A8742
O64 - Services: CurCS - (.not file.) - af6afd26 (af6afd26) .(.Pas de propriétaire - Pas de description.) - LEGACY_AF6AFD26
O64 - Services: CurCS - (.not file.) - afee9186 (afee9186) .(.Pas de propriétaire - Pas de description.) - LEGACY_AFEE9186
O64 - Services: CurCS - (.not file.) - b1417fc4 (b1417fc4) .(.Pas de propriétaire - Pas de description.) - LEGACY_B1417FC4
O64 - Services: CurCS - (.not file.) - b1781728 (b1781728) .(.Pas de propriétaire - Pas de description.) - LEGACY_B1781728
O64 - Services: CurCS - (.not file.) - b621edef (b621edef) .(.Pas de propriétaire - Pas de description.) - LEGACY_B621EDEF
O64 - Services: CurCS - (.not file.) - b95e12c1 (b95e12c1) .(.Pas de propriétaire - Pas de description.) - LEGACY_B95E12C1
O64 - Services: CurCS - (.not file.) - be454117 (be454117) .(.Pas de propriétaire - Pas de description.) - LEGACY_BE454117
O64 - Services: CurCS - (.not file.) - c0e0a6c4 (c0e0a6c4) .(.Pas de propriétaire - Pas de description.) - LEGACY_C0E0A6C4
O64 - Services: CurCS - (.not file.) - c318ef41 (c318ef41) .(.Pas de propriétaire - Pas de description.) - LEGACY_C318EF41
O64 - Services: CurCS - (.not file.) - c3331a77 (c3331a77) .(.Pas de propriétaire - Pas de description.) - LEGACY_C3331A77
O64 - Services: CurCS - (.not file.) - c44a427f (c44a427f) .(.Pas de propriétaire - Pas de description.) - LEGACY_C44A427F
O64 - Services: CurCS - (.not file.) - c52ba914 (c52ba914) .(.Pas de propriétaire - Pas de description.) - LEGACY_C52BA914
O64 - Services: CurCS - (.not file.) - c5358520 (c5358520) .(.Pas de propriétaire - Pas de description.) - LEGACY_C5358520
O64 - Services: CurCS - (.not file.) - c535bb6b (c535bb6b) .(.Pas de propriétaire - Pas de description.) - LEGACY_C535BB6B
O64 - Services: CurCS - (.not file.) - c79019f8 (c79019f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_C79019F8
O64 - Services: CurCS - (.not file.) - cba2f66a (cba2f66a) .(.Pas de propriétaire - Pas de description.) - LEGACY_CBA2F66A
O64 - Services: CurCS - (.not file.) - cbc2c0f8 (cbc2c0f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_CBC2C0F8
O64 - Services: CurCS - (.not file.) - cc4a7f78 (cc4a7f78) .(.Pas de propriétaire - Pas de description.) - LEGACY_CC4A7F78
O64 - Services: CurCS - (.not file.) - cecf5fb8 (cecf5fb8) .(.Pas de propriétaire - Pas de description.) - LEGACY_CECF5FB8
O64 - Services: CurCS - (.not file.) - d0235e98 (d0235e98) .(.Pas de propriétaire - Pas de description.) - LEGACY_D0235E98
O64 - Services: CurCS - (.not file.) - d0452c8d (d0452c8d) .(.Pas de propriétaire - Pas de description.) - LEGACY_D0452C8D
O64 - Services: CurCS - (.not file.) - No object (d088929c) .(.Pas de propriétaire - Pas de description.) - LEGACY_D088929C
O64 - Services: CurCS - (.not file.) - d1c2c0a6 (d1c2c0a6) .(.Pas de propriétaire - Pas de description.) - LEGACY_D1C2C0A6
O64 - Services: CurCS - (.not file.) - d57a0c62 (d57a0c62) .(.Pas de propriétaire - Pas de description.) - LEGACY_D57A0C62
O64 - Services: CurCS - (.not file.) - d6117bef (d6117bef) .(.Pas de propriétaire - Pas de description.) - LEGACY_D6117BEF
O64 - Services: CurCS - (.not file.) - d622adf6 (d622adf6) .(.Pas de propriétaire - Pas de description.) - LEGACY_D622ADF6
O64 - Services: CurCS - (.not file.) - d83f1d16 (d83f1d16) .(.Pas de propriétaire - Pas de description.) - LEGACY_D83F1D16
O64 - Services: CurCS - (.not file.) - d946fd7a (d946fd7a) .(.Pas de propriétaire - Pas de description.) - LEGACY_D946FD7A
O64 - Services: CurCS - (.not file.) - d96bbe0c (d96bbe0c) .(.Pas de propriétaire - Pas de description.) - LEGACY_D96BBE0C
O64 - Services: CurCS - (.not file.) - da3a02c5 (da3a02c5) .(.Pas de propriétaire - Pas de description.) - LEGACY_DA3A02C5
O64 - Services: CurCS - (.not file.) - dbbe36b9 (dbbe36b9) .(.Pas de propriétaire - Pas de description.) - LEGACY_DBBE36B9
O64 - Services: CurCS - (.not file.) - de7bbd45 (de7bbd45) .(.Pas de propriétaire - Pas de description.) - LEGACY_DE7BBD45
O64 - Services: CurCS - (.not file.) - de9118a0 (de9118a0) .(.Pas de propriétaire - Pas de description.) - LEGACY_DE9118A0
O64 - Services: CurCS - (.not file.) - dedacd70 (dedacd70) .(.Pas de propriétaire - Pas de description.) - LEGACY_DEDACD70
O64 - Services: CurCS - (.not file.) - df39f1f3 (df39f1f3) .(.Pas de propriétaire - Pas de description.) - LEGACY_DF39F1F3
O64 - Services: CurCS - (.not file.) - e022e0e2 (e022e0e2) .(.Pas de propriétaire - Pas de description.) - LEGACY_E022E0E2
O64 - Services: CurCS - (.not file.) - e0a6de7b (e0a6de7b) .(.Pas de propriétaire - Pas de description.) - LEGACY_E0A6DE7B
O64 - Services: CurCS - (.not file.) - e2ed5bfb (e2ed5bfb) .(.Pas de propriétaire - Pas de description.) - LEGACY_E2ED5BFB
O64 - Services: CurCS - (.not file.) - e57ae23b (e57ae23b) .(.Pas de propriétaire - Pas de description.) - LEGACY_E57AE23B
O64 - Services: CurCS - (.not file.) - e5dae0e5 (e5dae0e5) .(.Pas de propriétaire - Pas de description.) - LEGACY_E5DAE0E5
O64 - Services: CurCS - (.not file.) - e9130d00 (e9130d00) .(.Pas de propriétaire - Pas de description.) - LEGACY_E9130D00
O64 - Services: CurCS - (.not file.) - e9eeed69 (e9eeed69) .(.Pas de propriétaire - Pas de description.) - LEGACY_E9EEED69
O64 - Services: CurCS - (.not file.) - ebf08678 (ebf08678) .(.Pas de propriétaire - Pas de description.) - LEGACY_EBF08678
O64 - Services: CurCS - (.not file.) - ed5b7bbf (ed5b7bbf) .(.Pas de propriétaire - Pas de description.) - LEGACY_ED5B7BBF
O64 - Services: CurCS - (.not file.) - edd9366a (edd9366a) .(.Pas de propriétaire - Pas de description.) - LEGACY_EDD9366A
O64 - Services: CurCS - (.not file.) - edd94605 (edd94605) .(.Pas de propriétaire - Pas de description.) - LEGACY_EDD94605
O64 - Services: CurCS - (.not file.) - No object (f464bc6e) .(.Pas de propriétaire - Pas de description.) - LEGACY_F464BC6E
O64 - Services: CurCS - (.not file.) - f4ee1f52 (f4ee1f52) .(.Pas de propriétaire - Pas de description.) - LEGACY_F4EE1F52
O64 - Services: CurCS - (.not file.) - f66aa438 (f66aa438) .(.Pas de propriétaire - Pas de description.) - LEGACY_F66AA438
O64 - Services: CurCS - (.not file.) - f7c7a5df (f7c7a5df) .(.Pas de propriétaire - Pas de description.) - LEGACY_F7C7A5DF
O64 - Services: CurCS - (.not file.) - f80d6af7 (f80d6af7) .(.Pas de propriétaire - Pas de description.) - LEGACY_F80D6AF7
O64 - Services: CurCS - (.not file.) - f9b7ec91 (f9b7ec91) .(.Pas de propriétaire - Pas de description.) - LEGACY_F9B7EC91
O64 - Services: CurCS - (.not file.) - fb0b09b6 (fb0b09b6) .(.Pas de propriétaire - Pas de description.) - LEGACY_FB0B09B6
O64 - Services: CurCS - (.not file.) - fd7ae23b (fd7ae23b) .(.Pas de propriétaire - Pas de description.) - LEGACY_FD7AE23B
O64 - Services: CurCS - (.not file.) - fdaf6a05 (fdaf6a05) .(.Pas de propriétaire - Pas de description.) - LEGACY_FDAF6A05
 
 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • Copie/colle la totalité du rapport dans ta prochaine réponse
 
 
 
Pour finir :
 
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
    • Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
 
 
J'attends tes rapports.  
 
@+

Reply

Marsh Posté le 17-06-2010 à 21:38:47    

Bonsoir,
 
Voilà le rapport de ComboFix:
http://www.cijoint.fr/cjlink.php?f [...] L0MT4O.txt
 
A bientôt pour la suite.

Reply

Marsh Posté le 17-06-2010 à 21:46:19    

Voilà le rapport de ZHPFix.
http://www.cijoint.fr/cjlink.php?f [...] 5IYEgi.txt
 
A tout de suite.

Reply

Marsh Posté le 18-06-2010 à 07:06:06    

Bonjour,
 
Le programme a tourné toute la nuit. Il vient juste de se terminer.  :sleep:  
Il avait généré ses entrées de log dès le début.  :heink:  
Voici le log :
http://www.cijoint.fr/cjlink.php?f [...] vVsf2T.txt
 
La première fois je l'avais lancé pendant la midi-temps et revenant du foot j'ai trouvé un pc rebooté.
C'est normal ?  
 
Merci encore.
 

Reply

Marsh Posté le 20-06-2010 à 20:14:42    

Salut,
 
Bon ben, je n'ai pas d'autres solutions, j'ai bien peur qu'il faille formater ton ordinateur et faire une installation propre. Je ne sais pas quelle merde tu as chopé, mais c'est plutôt le bordel dans ton système...
 
 
Tiens moi au courant. Je te MP pour le forum de formation.
 
Bonne semaine.

Reply

Marsh Posté le 20-06-2010 à 23:26:22    

Bonsoir,
 
Pas de soucis. Je commençais à me poser la même question. J'avais prévu une migration sur Windows 7 l'année prochaine. Je pense que je vais avancer la chose.
 
Je souhaiterais récupérer quelques fichiers sur mon disque dur. Un collègue me dit d'utiliser Vista bart pe pour récupérer des fichiers sans risque sur un disque externe.
 
Que penses-tu de cette méthode ?  
Y-a-t'il une procédure particulière lorsque je vais rebrancher des disques usb avec le nouveau système ?
 
Merci d'avance pour ta réponse.
 
Bleuzaille.

Reply

Marsh Posté le 21-06-2010 à 20:25:24    

Salut,
 
Il serait souhaitable avant de récupérer tes données de vacciner tes supports amovibles.
On va commencer par une recherche d'infection, par sécurité :
 
/!\Désactive tous tes programmes de sécurité/!\
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  • tutoriel recherche
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur" )
  • Choisis l'option recherche
  • Laisse travailler l'outil
  • Ensuite héberges  le rapport UsbFix.txt qui apparaîtra sur ci-joint
  • Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:)[/list]

   
 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Reply

Marsh Posté le 23-06-2010 à 19:29:11    

Bonsoir,
 
Voilà le log USB Fix
http://www.cijoint.fr/cjlink.php?f [...] 6JObQG.txt
 
en quoi consiste la vaccination ?
 
A bientôt.
Bleuzaille.

Reply

Marsh Posté le 24-06-2010 à 00:12:36    

Salut  
 
 
Je m'incruste un peu dans le topic mais je serais aussi interressé par une formation en ligne sur la désinfection; voir sur l'informatique en générale (programmation, etc...)
 
 
Merci d'avance.


---------------
http://hirubela.blog.mongenie.com/
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed