(Résolu) - Problemes avec IE et autres

- Problemes avec IE et autres (Résolu) - Virus/Spywares - Windows & Software

Marsh Posté le 13-01-2011 à 18:13:17    

Bonsoir,
 
voilà je sollicite votre aide car j'ai des gros soucis avec Internet Explorer, à savoir que :
- Il m'est impossible de fermer ma session normalement, le fond d'écran sans les icones est figé
- Antivir n'arrete pas de me trouver des virus ou pages malveillantes
- j'arrive à ouvrir IE 1 fois sur 3, quand ça marche pas, à la place de la barre d'outil j'ai le fond d'écran
et la page qui est blanche est figée...obligé d'éteindre et redémarrer l'ordi
- des fois quand une page internet s'ouvre, j'en ai immédiatement une ou plusieurs indésirables qui se grèffent
 
Voilà quelques uns de mes désagréments, je ne sais quoi faire....merci d'avance de votre aide
 
Idom


Message édité par idom le 19-01-2011 à 18:05:33
Reply

Marsh Posté le 13-01-2011 à 18:13:17   

Reply

Marsh Posté le 13-01-2011 à 18:34:33    

Salut idom,  ;)  
 
Pour t'aider j'ai besoin d'un diagnostic :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
 
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
 
    • Clique sur l'icône représentant une loupe
 http://www.memoclic.com/medias/var_forum/23/5780.jpg (« Lancer le diagnostic »)
 
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette http://www.memoclic.com/medias/var_forum/23/5781.jpg
 
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Attention, le site de ci-joint n'accepte pas les fichiers trop volumineux. Si le fichier de ZHPDiag est trop lourd tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 
Comment héberger un rapport sur ci-joint :
 
 
 • Clique sur ce lien : http://www.cijoint.fr/
 • Clique sur "Parcourir"... et cherche le fichier du rapport que tu souhaites me transmettre.
 • Clique sur "Ouvrir".
 • Clique sur "Cliquez ici pour déposer le fichier".
 • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
 • Copie-colle ce lien dans ta réponse.

Reply

Marsh Posté le 13-01-2011 à 19:25:06    

Dés que je fais "cliquer ici pour déposer le dossier" , un message apparait "IE ne peut pas afficher cette  page web".
Est ce que je fais un copier coller ?

Reply

Marsh Posté le 13-01-2011 à 19:27:30    

Non ne fait pas de copié/collé directement sur le forum, la charte l'interdit. (Bien dommage dans des cas comme le tient :heink: ).
 
Par tu peux opier/coller le rapport dans un message privé.
 
J'attends ton MP

Reply

Marsh Posté le 13-01-2011 à 19:36:14    

IMPOSSIBLE ! au moment d'envoyer le mail j'ai encore ce foutu avertissement  "IE ne peut pas afficher cette  page web".  

Reply

Marsh Posté le 13-01-2011 à 19:53:08    

Okay, :heink:  
 
On va attaquer directement la désinfection sans diagnostic :
 
Attention Très Important
 
/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : http://www.avg.com/fr-fr/outils-telecharges
Choisis la version adéquate (32 ou 64 bits)/!\
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.[/list]
 
• Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
• PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
 
• Si pas mieux, tente en en mode sans échec avec prise en charge du réseau du réseau : Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
 
 
 

Reply

Marsh Posté le 13-01-2011 à 23:03:08    

Voici le rapport combofix, iE a fonctionné :
 
http://www.cijoint.fr/cjlink.php?f [...] bGI0j3.txt  
 

Reply

Marsh Posté le 13-01-2011 à 23:13:17    

Bonne nouvelle.
 
peux tu maintenant faire un nouveau rapport avec ZHPDiag et m'envoyer le lien ci-joint stp.
 
bonne nuit !

Reply

Marsh Posté le 14-01-2011 à 06:54:02    

Je ne comprend pas, impossible de joindre un rapport ZHPDIAG, que ce soi en mail privé, avec ci joint ou bien en copier coller ici, c'est bizarre. Toujours ce message : "IE ne peut pas afficher cette  page web".  
Bonne journée

Reply

Marsh Posté le 14-01-2011 à 07:02:41    

bougre d'âne et bougre d'andouille ne font qu'un...c'est moi , il fallait compresser, je pensait que le volume n'était pas important:
Voici le lien avant combofix :
http://www.cijoint.fr/cjlink.php?f [...] yx99bP.zip
 
et aprés combofix
 
http://www.cijoint.fr/cjlink.php?f [...] gH706j.zip  
 
Bonne journée
 

Reply

Marsh Posté le 14-01-2011 à 07:02:41   

Reply

Marsh Posté le 14-01-2011 à 15:31:44    

Salut,
 
Merci pour tes rapports.
 
Tu possèdes malwarebytes antimalwares, tu vas l'utiliser :
 
• Lance MBAM et fais les Mises à jour  
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le lien du rapport qui va apparaître après la suppression stp
 
comment se comporte ton pc suite au passage de combofix ?
 

Reply

Marsh Posté le 14-01-2011 à 20:50:47    

voici le rapport :
http://www.cijoint.fr/cjlink.php?f [...] b8SyBY.txt  
 
J'ai toujours des prob avec IE, juste lorsque je veux arreter l'ordi , il ne se passe rien, tout reste bloqué, je suis obligé de couper l'ordi par son interrupteur. DE meme si j'ouvre une session , j'ai le fon d'écran sans les icones, et rebelote je coupe l'ordi sauvagement.J'ai le message suivant "Generic host Process a rencontré...."

Reply

Marsh Posté le 14-01-2011 à 20:57:21    

autre probleme : j'ai consulté il y a30 secondes un site de location de maos de ski , quelques instants aprés la page parasite gameo s'incruste pour me proposer d'autres sites de ski...

Reply

Marsh Posté le 14-01-2011 à 21:08:13    

Salut, ;)  
 
Ok, MBAM a encore fait du ménage.  
 
Supprime la quarantaine de malwarebyte.
 
Par sécurité, fais ceci stp :
 
/!\Désactive tous tes programmes de sécurité/!\
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur" )
  • Choisis l'option recherche
  • Laisse travailler l'outil
  • Ensuite héberges  le rapport UsbFix.txt qui apparaîtra sur ci-joint
  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque système (C:) => C:\Usbfix.txt

   
 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
 
Ton problème de "Generic host process" est du à un service svchost qui permet de charger les services d'exécution des DLL
 
Tu peux toujours tenter ceci :
 

  • Menu démarrer => Exécuter => taper services.msc et valider
  • Fais un clic droit sur le service Client DNS => propriétés
  • Modifie le type de démarrage en Désactivé
  • Clique sur le bouton Arrêter, valide les modifications et ferme la fenêtre de services.


Tu vas aussi utiliser ce programme :
 

  • Télécharge MyHosts(de jeanmimigab) sur ton bureau
  • Fais un double clic sur l'icône du programme pour le lancer.
  • Envoi le lien ci-joint du rapport qui s'ouvre.
  • Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:\MyHosts.txt


Pour une vérification, fais ceci stp :
 
 /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
    • Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Enfin, envoie moi un nouveau rapport ZHPDiag, il sera à jour après le passage de MBAM.
 
J'attends tes rapports. ;)  
 

Reply

Marsh Posté le 14-01-2011 à 21:21:15    

Re, je n'avais pas vu ton intervention :
 

Citation :

autre probleme : j'ai consulté il y a30 secondes un site de location de maos de ski , quelques instants aprés la page parasite gameo s'incruste pour me proposer d'autres sites de ski...


 
Cela ne remet pas en cause ce que je t'ai demandé dans mon dernier post, par contre ça me met sur la voie d'une infection dite "Trojan Batimal", le rapport de Gmer pourra m'en dire plus.
 
Ceci dit, peux tu faire ceci en plus stp :
 

  • Ouvre ZHPDIAG, puis clique sur les jumelles ( = Zhpsearch)
  • Sélectionne "Trojan.Batimal" dans la liste déroulante située en bas à droite
  • Clique sur le bouton "Loupe" pour lancer la recherche
  • En fin de recherche, clique sur le bouton "Afficher le rapport", enregistre le sur ton bureau.
  • Envoie moi le lien ci-joint du rapport stp


 
[EDIT] possède tu le CD d'installation de windows XP ?


Message édité par Profil supprimé le 14-01-2011 à 21:22:21
Reply

Marsh Posté le 14-01-2011 à 21:54:44    

Voici le rapport :
 
http://www.cijoint.fr/cjlink.php?f [...] SPsaEC.txt
 
oui j'ai Windows XP SP2

Reply

Marsh Posté le 14-01-2011 à 22:03:33    

okay, toujours bon à savoir que tu possèdes le CD.
 
Bon ZHPsearch indique que tes fichiers systèmes qui peuvent être touchés par l'infection batimal sont sains. :heink:  
 
On va tout de même approfondir. Peux tu faire ce que j'ai demandé dans mon poste avec usbfix et GMER.
 
Ensuite :
 
On va faire une vérification =>
 

  • rends toi sur Virustotal
  • dans le champ parcourir saisis le chemin vers le fichier suspecté d'être infecté soit C:\Windows\explorer.exe  
  • tu vas faire de même pour C:\Windows\system32\winlogon.exe et C:\Windows\system32\wininit.exe , mais l'un après l'autre.  
  • clique sur envoyer le fichier  


 
Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 
 

  • héberge ensuite les rapport fournis sur cijoint.fr et poste moi les liens


 
[EDIT] arff, j'ai oublié de te donner un autre outil à passer :
 
• Télécharge AD-Remover (de C_XX) sur ton Bureau.
• (!) Déconnecte toi et ferme toutes les applications en cours (!)
• Double-clique sur l'icône AD-Remover (Utilisateurs de vista ou Seven, clic droit sur l'icône et choisir Exécuter en tant qu'administrateur).
• Au menu principal, clique sur Nettoyer
• Confirme le lancement de l'analyse et laisse l'outil travailler
• Poste le lien ci-joint du rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
 
 
Vraiment désolé pour tous ces rapports, mais ce sont mes yeux, j'ai besoin de savoir où j'en suis et surtout réussir à désinfecter ton ordinateur. :whistle:


Message édité par Profil supprimé le 14-01-2011 à 22:06:34
Reply

Marsh Posté le 14-01-2011 à 23:38:21    

excuse moi ,j'ai mangé un post, voici la suite :
- j'ai supprimé les éléments infestés dans la quarantaine
- j'ai pas mon disque dur externe, ni mes cles usb...zut zut !
- rapport usbfix :
 
http://www.cijoint.fr/cjlink.php?f [...] WasGEx.txt
 
- j'ai arrêté le client DNS
 
-rapport my hosts :
http://www.cijoint.fr/cjlink.php?f [...] bAd18x.txt  
 
- rapport Gmer :
http://www.cijoint.fr/cjlink.php?f [...] 7L3VEs.txt
 
- rapport AD report clean :
http://www.cijoint.fr/cjlink.php?f [...] X1sOpg.txt  
 
remarque : ad report m'a demandé d'autoriser le re démarrage automatique de windows, j'accepte .... impossible de se fermer....redémarrage sauvage.
 
- virustotal :
pour explorer.exe = RAS
pour winlogon l'antivirus m protect a détecté "Trojan.Downloader/W32.small.512000.B"
pour winmine = RAS
 
remarque : j'ai pas trouvé comment enregistrer les rapports!
 
Bonne soirée, à demain
 
 
 
 
 

Reply

Marsh Posté le 15-01-2011 à 00:24:50    

Salut,
 
bon on va essayer de réparer tout ça :
 
 

(Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky)
 

  • Lance load_tdsskiller en double-cliquant dessus.
  • l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  • Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
  • Le rapport s'affichera automatiquement
  • Envoies le lien ci-joint de ce rapport dans ta prochaine réponse
  • Redémarre ton ordinateur

 
(le rapport se trouve ici : C:\tdsskiller\report.txt)
 
Ensuite :
 
Tu vas désinstaller combofix, pour cela fait ceci stp :
 

  • clique sur démarrer  
  • puis sur exécuter  
  • tapes la commande ComboFix /Uninstall  Tu peux aussi la copier/coller
  • laisse combofix se désinstaller.


Tu vas maintenant télécharger et relancer à nouveau combofix, mais cette fois-ci il faut accepter de télécharger la console de récupération :
 
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.[/list]
 
• Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
Puis :
 
fais un nouveau scan avec malwarebytes, mets le à jour avant de le lancer et envoie le lien ci-joint.
 
Bonne nuit également, j'espère à demain, si je suis dispo.
 
 
 
 
 
 
   

Reply

Marsh Posté le 15-01-2011 à 13:55:17    

Reply

Marsh Posté le 15-01-2011 à 19:19:00    

Bonjour,
 
On dirait que ça fonctionne mieux, sauf que j'ai eu un probleme bizarre maintenant :
Je veux faire un scan avec antimalwarebytes, je fais d'abord une mise à jour....celle ci se lance, et aussitot une page bleue apparait furtivement remplie d'une éciture blanche, aussitot l'ordi s'éteint et demémarre tout seul. J'ouvre ma session et là apparait un message windows "Le système a récupéré d'une erreur sérieuse etc..."
Ceci m'était arrivé également avec tdskiller....
 
A bientot, merci encore

Reply

Marsh Posté le 16-01-2011 à 10:53:44    

Salut,
 
Bon l'infection réapparait malgré le passage des outils. Il s'agit de rootkit qui servent aux pirates à prendre le contrôle de ton ordinateur et en faire un PC Zombie. En règle générale, cette infection à pour source l'utilisation de cracks frauduleux du P2P. :heink:  
 
Tu peux vider la quarantaine de malwarebytes.
 
Tu vas faire ceci :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour idom, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier idom.rar
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Veille à ce que le fichier CFScript.txt qui se trouve à l'intérieur du fichier compressé se place sur le Bureau.  
 
Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous :
 
http://sd-1.archive-host.com/membres/images/70858669637993893/img-2258535my8h.gif
 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
++


Message édité par Profil supprimé le 16-01-2011 à 12:52:40
Reply

Marsh Posté le 16-01-2011 à 13:17:04    

Bonjour,
Voici le rapport :
http://www.cijoint.fr/cjlink.php?f [...] 9tCLex.txt  
 
Depuis 4 jours j'ai à chaque fermeture de l'ordi des mises à jour automatiques de windows : 11, 3 ,2 et 1 tout à l'heure.

Reply

Marsh Posté le 16-01-2011 à 18:03:18    

A l'instant , malwarebytes a trouvé un trojan Bubnix, et antivir également dans C:\windows\system32\drivers\hvrhsa.sys a trouvé roolkit Gen

Reply

Marsh Posté le 16-01-2011 à 18:28:48    

Salut idom,  
 
J'ai demandé un coup de main à des potes, on se penche sur ton problème et je reviens vers toi en espérant une solution radicale. ;)  
 
Merci de ta patience et de ton concours. :D

Reply

Marsh Posté le 16-01-2011 à 19:14:12    

C'est moi qui te remercie, tu as déjà beaucoup oeuvré...

Reply

Marsh Posté le 16-01-2011 à 22:09:11    

Salut,
 
J'ai eu les réponses que j'attendais et certaines précisions bien utiles pour moi au cas où (merci à Anthony5151  ;) ). En gros, on a joué ou serpent qui ce mort la queue, il faut un outil bien plus puissant pour supprimer le rootkit qui passe son temps à se régénérer, je pensais combofix suffisant, mais pas dans ce cas précis.... :whistle:  
 
Voilà ce qu'il faut faire :
 
1. Télécharge The Avenger (de Swandog46) sur ton Bureau.
 
http://swandog46.geekstogo.com/avenger.zip
 

  • Clique sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur ton bureau


 
2. Copies tout le texte en gras ci-dessous : [ou mettre en surbrillance et appuyer sur les touches(Ctrl+C)]:
 
Drivers to delete:
hvrhsa      
 
Files to delete:
c:\windows\system32\drivers\hvrhsa.sys
c:\documents and settings\Dominique\Application Data\al3u33fbzjspssksnguinliwhrhnvp32    
 
Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hvrhsa

 
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. Si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
 

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, colle le texte précédemment copié sur le bureau par les touches (Ctrl+V).
  • Clique Done
  • ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.


4. The Avenger va automatiquement faire ce qui suit:
 

  • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.


5. Pour finir envoie le lien ci-joint du contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport ZHPDiag.

Reply

Marsh Posté le 16-01-2011 à 22:29:59    

Reply

Marsh Posté le 16-01-2011 à 22:46:36    

Bon écoute, bonne nouvelle plus de trace du rootkit sur ton rapport ZHPdiag. The Avenger ne donne pas les résultats escomptés.... Ton pc devrait déjà aller mieux, dis moi ce qu'il en est.
 
tu vas faire ceci pour nettoyer les restes :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
 
 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Clé orpheline      
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline      
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 5971543500      
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} () - http://fichiers.touslesdrivers.com [...] _5_3_0.cab  
O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} () - http://webtv.guidetv.orange.fr/resources/OCS_9418.cab  
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab      
O43 - CFD: 14/01/2011 - 17:23:12 ----D- C:\Documents and Settings\Dominique\Application Data\al3u33fbzjspssksnguinliwhrhnvp32  
O64 - Services: CurCS - (.not file.) - pfxyrkob (pfxyrkob)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PFXYRKOB  
O64 - Services: CurCS - (.not file.) - pfxyrkow (pfxyrkow)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PFXYRKOW  
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe      
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe      
 
 
 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • Envoie le lien ci-joint du rapport dans ta prochaine réponse
 
Par sécurité, fais un nouveau scan avec MBAM une fois mis à jour et envoie aussi le lien du rapport.
 
Pour la suite, je te dis à demain soir, on est proche de la fin de la désinfection, un truc ou deux à faire avant de finaliser.  
 
Demain boulot, faut aussi penser à dormir.  ;)  
 
++

Reply

Marsh Posté le 16-01-2011 à 23:32:55    

Voici les 2 rapports :
http://www.cijoint.fr/cjlink.php?f [...] WZH5jU.txt
http://www.cijoint.fr/cjlink.php?f [...] cwmYQy.txt  
 
Pendant que Malwarebytes scannait l'ordi ,j'ai une une alerte de Antivir concernant Trashgen (peut etre est ce dû à l'antimalware?
 
En tout cas windows tourne beaucoup mieux, bonne nuit car demain boulot
Mille mercis

Reply

Marsh Posté le 16-01-2011 à 23:45:01    

J'ai pas pris le temps de me coucher comme prévu  :whistle:  
 
Pour l'alerte avira, peux tu me donner le chemin d'accès, ça me parlera plus. Probable que ce soit dans la restauration système qu'il ait trouvé l'infection ??
 
Une autre chose avant d'oublier. Peux tu aller dans l'onglet rapport log de MBAM et me sortir sur un lien ci-joint le rapport que tu as fait après le passage CFScript de combofix, c'est important pour moi et les lecteurs éventuels de ton topic.
 
Pour demain, tu peux me faire un nouveau ZHPDiag et je pense que l'on pourra finaliser la désinfection. Il s'agira de supprimer les outils utilisés pendant la désinfection, faire des mises à jour de sécurité et t'aider à sécuriser ton pc.
 
Bon ce coup là sérieux, je vais au dodo. :D

Reply

Marsh Posté le 17-01-2011 à 20:52:27    

Bonsoir,
Voici l'avertissement d'AVIRA (je viens de l'avoir à nouveau à l'instant) :
"Dans le fichier C:\Systeme\VolumeInformation\...\A0105366.sys un virus ou un programme indésirable TR\TrashGen a été trouvé"
 
Là c'est le rapport Malwarebytes
http://www.cijoint.fr/cjlink.php?f [...] Zp63Uu.txt  
 
et ici le rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?f [...] lZ5ggQ.zip
 

Reply

Marsh Posté le 17-01-2011 à 20:55:40    

J'ai oublieè de te dire qu'à chaque fois que j'utilise ZHPDiag je décoche la ligne 80 masterboot record car le scan bloque à ce niveau...

Reply

Marsh Posté le 17-01-2011 à 21:07:54    

Salut,
 
Pour l'infection détectée par avira, elle se trouve comme prévu dans la restauration système, il s'agit du rootkit hvrhsa.sys, renommé par l'antivirus. Je t'invite donc à ne pas restaurer ton pc avant la fin de la désinfection.
 
On va faire un dernier contrôle avec TDSSKiller, peux tu le lancer à nouveau et me poster le lien ci-joint stp.

Reply

Marsh Posté le 17-01-2011 à 21:37:06    

Reply

Marsh Posté le 17-01-2011 à 21:41:41    

ok, rien à l'horizon.
 
je n'ai pas de solution pour la suppression des lignes 081.
Je vais remonter le problème vers le concepteur de l'outil et je te tiens au courant.
 
Je n'ai pas fini la désinfection, il resta la phase de finalisation. Reste en veille dès que j'ai des infos, je reviens.
Tu peux utiliser ton pc normalement, en théorie tous tes soucis ont du disparaitre.
 
Attention simplement à ne pas faire de restauration système pour le moment, on va la purger à la fin.

Reply

Marsh Posté le 17-01-2011 à 21:46:18    

Bien compris, je piste les problèmes...

Reply

Marsh Posté le 17-01-2011 à 21:58:28    

le feedback est parti, patience.
 
++

Reply

Marsh Posté le 17-01-2011 à 21:59:58    

bravo pour ta ténacité...

Reply

Marsh Posté le 17-01-2011 à 23:29:23    

Je vous abandonne, bonne nuit, à demain

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed