DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 25 Nov 2024 à 12:14 FAQ | Rechercher | Membres | Groupes

[RESOLU] Pc qui redemarre toutes les minutes!


Aller à la page 1, 2, 3  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 20 Juil 2012 à 17:17    Sujet du message: [RESOLU] Pc qui redemarre toutes les minutes! Répondre en citant

Bonjour a tous.
Aujourd'hui, je vous écris depuis mon portable car mon pc est hors d'usage pour le moment comme vous l'aurez compris en lisant le titre de ce post.

Je suis un amateur dans le domaine informatique mais j'essaierai de vous aider au mieux. Je dispose d'un windows tournant sous windows 7 32 bits, edition familiale premium.

Mon soucis s'etend sur plusieurs jours, certains elements de l'historique qui sera fait ne sont peut etre pas liés entre eux mais je prefere ne rien omettre.

Depuis que j'ai mon pc, j'utilise Microsoft security essential qui m'a satisfait jusque la.
Depuis plusieurs jours, des publicités s'ouvrent quelque fois dans internet explorer (que je n'utilise jamais) et mozilla firefox qui est mon navigateur principal. Rien de bien alarmant.
Mais depuis plusieurs jours, le petit cercle bleu de chargement apparait inopinement a coté de mon curseur a des moments qui n'ont pas lieu d'etre, c'est d'ailleurs a ces instants, ou le curseur est censé rester seul comme d'habitude, que je le remarque, comme quand je sors d'un jeu, ou promene mon curseur sur le bureau.

Ce matin alors que je discutais sur skype, mon pc a redemaré tout seul sans prevenir. Cela le fait quelques fois apres une mise a jour de Microsoft security ou un de ces analyses.

Le pc redemaré, tout va bien.
Quelques heures plus tard, je constate avec surprise que Microsoft security n'est plus actif et que je ne peux pas le reactiver.
Je le desinstalle et le reinstalle donc.

Apres son installation, le logiciel lance une analyse, puis au cours de cette analyse, une fenetre s'ouvre en m'annoncant un truc du genre "Windows a rencontré une erreur critique et va redemarrer dans moins d'une minute. Enregistrez votre travail". Je me dis que c'est l'analyse qui veut ca.

La bete redemarre, et au bout de 2/3 minutes, meme message, meme rituel apres que j'ai rentré mon passe. Une fois, deux fois, trois fois. Un truc cloche.
Des le demarage, j'ouvre le gestionnaire des taches pour voir si un programme intrus ne fait pas reboot le pc. Rien.

Reboot a nouveau avec la meme fenetre. Des le demarage, j'ouvre donc Microsoft security pour voir si il y a des elements a supprimer dans la categorie en quarantaine. Et en effet, il y en a classés comme grave alors que le logiciel est tout vert en disant que tout est a jour.
Comme j'avais fait pour un virus precedent tres different (il m'ouvrait une fenetre au nom de Sacem pour dire que j'avais piraté de la musique et me bloquait mon pc en attendant que je paye pour le debloquer) je supprime ces elements en criant victoire.

Un peu apres, meme fenetre et reboot a nouveau. Je retourne dans Microsoft security et constate que les elements en quarantaine sont revenus. Ils portaient tous le nom de Trojan et le logiciel me disait que c'etait des chevals de troie. Je les supprime encore et va voir dans pes autres categories.
Dans "elements autorisés", rien.
Dans "elements détectés" se trouvaient les memes que dans "elements en quarantaine".

Nouveau reboot. Supression des elements en quarantaine ET de ceux détectés. Puis le meme element reaparait sous mes yeux dans les deux categories "Trojan:/Win32/Sirefef.AB" je les supprime a nouveau puis arrive le message, et reboot.

Je retente plusieurs fois en ayant le meme rituel a chaque fois.
Je tente le demarage en mode sans echec, message, reboot. Je retente en normal, re supprime tout, et tous les elements reviennent au lieu d'un, puis le logiciel m'informe qu'il a détecté trois menaces graves, je supprime et nouveau reboot. Apres deux ou trois essais, j'abandonne et eteint le pc pour vous ecrire.

Est-ce deja arrivé a quelqu'un? Faut-il stopper un processus?
Merci de m'aider, je sais plus quoi faire...

PS: meme quand je rentte pas mon passe, il reboot sans rien afficher... 


Dernière édition par Flambius le 11 Aoû 2012 à 22:26; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 20 Juil 2012 à 23:28    Sujet du message: Répondre en citant

Bonjour Flambius

Demarre le PC en mode sans echec avec prise ebn charge du réseau (F8 au demarrage du PC)


- Télécharge RogueKiller (par tigzy) sur le bureau
http://www.sur-la-toile.com/RogueKiller/

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 21 Juil 2012 à 10:56    Sujet du message: Répondre en citant

Salut à toi et merci de ta réponse.

Comme je m'y attendais, le mode sans échec avec prise en charge réseau connais les mêmes reboots que le mode normal.

J'ai donc eu le temps de faire ce que tu m'as dis en plusieurs sessions de quelques minutes à chaque fois.
J'ai téléchargé le logiciel, lancé des scans par deux fois car chacun d'eux n'aboutissait pas, puis ait pris les deux rapports sur mon disque dur externe pour avoir le temps de répondre correctement sur un vieux pc temporaire que j'ai réussi à récupérer.

Comme je l'ai dit, le pc rebootait à chaque fois lorsque le scan était presque fini, avec écrit quelque chose du genre "Detection attempt infection" ou une chose de cet ordre.

Voici les deux rapports, il y avait aussi un cadre blanc dans la fenêtre du logiciel, et certaines choses étaient cochées automatiquement, comme "HJ" ou "ZeroAccess":

Rapport 1:


¤¤¤ Entrees de registre: 5 ¤¤¤
[BLACKLIST DLL] HKCU\[...]\Run : dfapck (rundll32.exe "C:\Users\Nico\AppData\Roaming\dfapck.dll",DetachDatabase) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-191525579-190074991-3368664025-1000[...]\Run : dfapck (rundll32.exe "C:\Users\Nico\AppData\Roaming\dfapck.dll",DetachDatabase) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Nico\AppData\Local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\n --> FOUND
[ZeroAccess][FILE] @ : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\L --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500418AS ATA Device +++++
--- User ---
[MBR] 93d96d0bef40a954371b84ef4890f951
[BSP] fdd1a7e2b11d839d21fb2f365a5d9c2a : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt


Rapport 2:

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec
Utilisateur: Nico [Droits d'admin]
Mode: Recherche -- Date: 13/07/2012 10:28:45

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\helppane.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[BLACKLIST DLL] HKCU\[...]\Run : dfapck (rundll32.exe "C:\Users\Nico\AppData\Roaming\dfapck.dll",DetachDatabase) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-191525579-190074991-3368664025-1000[...]\Run : dfapck (rundll32.exe "C:\Users\Nico\AppData\Roaming\dfapck.dll",DetachDatabase) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Nico\AppData\Local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\n --> FOUND
[ZeroAccess][FILE] @ : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{9a612169-a66b-f9bf-8833-8525d4884dd0}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\nico\appdata\local\{9a612169-a66b-f9bf-8833-8525d4884dd0}\L --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> CANNOT FIX
[ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500418AS ATA Device +++++
--- User ---
[MBR] 93d96d0bef40a954371b84ef4890f951
[BSP] fdd1a7e2b11d839d21fb2f365a5d9c2a : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Apparemment les rapports affichent "terminé" alors que la barre de chargement du logiciel n'était pas arrivé à terme.

Je ne peux que vous fournir ces éléments pour le moment en espérant que cela vous soit utile.
Merci. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Juil 2012 à 15:44    Sujet du message: Répondre en citant

Re, salement infecté ce PC

Relance roguekiller
Clique sur Suppression

Poste le rapport une fois le scan fini



Si le PC ne reste pas allumé assez longtemps, on passera par autre chose 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 21 Juil 2012 à 16:01    Sujet du message: Répondre en citant

D'ac, je vais faire ça, et sachant que j'ai un autre pc, on peut s'en servir pour télécharger des logiciels divers, si tu as besoin pour graver sur cd ou supprimer les virus de l'autre.

Je te tiens au courant. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 21 Juil 2012 à 18:46    Sujet du message: Répondre en citant

Re,

J'ai essayé de faire comme tu m'as dit, mais le problème sans que quand je lance Rogue, tous les boutons sont grisés sauf "Scan".
Donc je l'ai lancé en espérant qu'il déverrouille le bouton "Suppression", sans succès ayant eu droit au reboot habituel.

J'ai remarqué un truc, quand le scan se fait, le rapport (le même) se fait un peu avant que le chargement soit fini, lorsque le logiciel indique "Détection des pattems d'infection", puis le chargement se bloque et le pc s'éteint.

Autre chose, pendant le scan j'ai réouvert Microsoft security et ait supprimé une fois de plus tous les éléments détectés.
Puis, un message apparait me disant que l'ordi est nettoyé, et quelques seconde plus tard, un autre message en rouge me dit que 3 menaces ont été détectés.
Je les supprime manuellement après qu'elles soient revenues dans la catégorie de quarantaine, puis elles reviennent encore une fois avec un nouveau message avant le reboot du pc.

Je suis au moins sûr que de tenter de supprimer ça via l'antivirus ne sert à rien vu que ces saloperies reviennent à chaque fois.

Voili voilou. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Juil 2012 à 21:11    Sujet du message: Répondre en citant

Le problème est que zeroacess bloque les outils






- A partir d'un autre PC
- Télécharge OTLPEnet http://oldtimer.geekstogo.com/OTLPENet.exe

- Mets un cd vierge dans ton graveur
- Double clic sur OTLPENet.exe et accepte la gravure du cd
- Redémarre le PC à problèmes avec le CD que tu viens de graver
- Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long

- Si ton PC est connecté en Ethernet tu auras accès au net

- Avec readtogo tu dois avoir un fichier nommé OTLPE

- Double clic dessus :

- Clique sur le bouton Runscan
- Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

- Poste le contenu de OTL.txt en lien en utilisant cet hébergeur http://www.1fichier.com/
- Ce dernier est beaucoup trop grand pour tenir dans une réponse

- Tu as un tutoriel pour OTLPEnet ici http://forum.malekal.com/otlpe-live-t23453.html



Une fois le rapport d'OTLPEnet posté ici, met Roguekiller sur le PC à l'aide d'une clé usb et lance un scan (toujours sous environnement OTLPEnet)
Ensuite fait suivre avec suppression

Poste egalement le rapport de la suppression 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 22 Juil 2012 à 20:48    Sujet du message: Répondre en citant

Ok, merci pour tout, je fais tout ça et je te tiens au courant.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 22 Juil 2012 à 21:23    Sujet du message: Répondre en citant

Re, on va changer de tactique, l'infection a patché un fichier système
Il faut traiter ce cas en priorité

Suis précisément les instructions données pour le téléchargement et l'enregistrement du fichier c'est important

[*] Fais une sauvegarde de tes données sur un support externe (clé usb, disque dur externe)

  • Télécharge ComboFix à partir de l'un de ces liens
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://subs.geekstogo.com/ComboFix.exe

    • Enregistre le sur le bureau c'est important
    • Désactive où quitte tous tes logiciels de sécurité ( Antivirus, antispyware ect..)
    • Fais un double clic sur ComboFix.exe
    • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage



    Note : Si la Console de récupération est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



  • Une fois que la Console de récupération est installée via ComboFix, tu dois voir le message suivant:



  • Clique sur Oui ou appuie sur la touche o
  • Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 22 Juil 2012 à 22:31    Sujet du message: Répondre en citant

Re,

Mince, pile quand j'ai vu ça, j'ai fini toute la précédente opération...

Je te met tout ça quand même:
OTL: http://4ccb9s.1fichier.com/

Et RogueKiller n'a pas détecté ZeroAccess cette fois-ci il me semble, rapport de la suppression:

RogueKiller V7.6.4 [07/17/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Remove -- Date: 07/15/2012 01:26:37

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 3 ¤¤¤
[HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[BLACKLIST DLL] [ON_I:Nico]HKCU[...]\Run : dfapck (rundll32.exe "C:\Users\Nico\AppData\Roaming\dfapck.dll",DetachDatabase) -> DELETED

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 93d96d0bef40a954371b84ef4890f951
[BSP] fdd1a7e2b11d839d21fb2f365a5d9c2a : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 01ed405e75b5e8b13db892002b0dc7f7
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 32 | Size: 3971 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt


Je testerai ta seconde méthode demain, dois-je faire toutes les infos données sur le mode normal de Windows ou via OTPLE ? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 25 Juil 2012 à 1:04    Sujet du message: Répondre en citant

Bonjour flambius, non passe combofix comme demandé car il est imperatif de remplacer le fichier patché avant tout
Les manipes sont a faire en mode normal 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 25 Juil 2012 à 17:00    Sujet du message: Répondre en citant

Ok, ça va être dur de tenter en mode normal vu qu'il reboot plus vite qu'en mode sans échec, mais en plusieurs sessions, ça devrait le faire.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 25 Juil 2012 à 23:33    Sujet du message: Répondre en citant

Bonjour Flamius, en mode sans echec , pas de problèmes

Si tu as AVG comme antivirus, il faudra le desinstaller provisoirement
Combofix et AVG ne font pas bon ménage

Télécharge avg_remover_stf_x86_2012_2125.exe enregistre ce fichier sur le bureau

Clic droit sur avg_remover_stf_x86_2012_2125.exe et Exécuter en tant qu'administrateur pour désinstaller AVG

AVG désinstallé redémarre ton PC en mode sans echec (F5 au demarrage ou FCool et passe combofix
Poste ensuite son rapport 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Flambius



Inscrit le: 20 Juil 2012
Messages: 29

MessagePosté le: 26 Juil 2012 à 17:13    Sujet du message: Répondre en citant

Re,

Bon, il y a du nouveau !

Je démarre mon pc et lance le mod sans échec. Je viens sur le topic et télécharge ComboFix via le premier lien que tu m'as passé.

Le bouzin reboot comme d'hab après le téléchargement. Je double clic sur l’icône en tête de lion du bureau, une petite fenêtre s'ouvre et un tas de texte vert défile avec une barre de chargement.

La fenêtre se ferme, et comme un abruti je refais un double clic, nouveau chargement et le logiciel me dit qu'il n'a pas trouvé quelque chose au nom plein de chiffres et de lettres.
Nouveau reboot, je recommence, et après le message d'erreur, une petite console au fond bleu s'ouvre avec un message du genre "Patience, ComboFix démarre", donc j’attends et un reboot interompt cette attente.
J'y reviens et fais la même, mais cette fois-ci je ne double clic qu'une seule fois en attendant que la console s'ouvre.
Même message, et je vois en dessous quelque chose qui ressemble à "Démarrage de ComboFix, ceci ne prend généralement pas plus de dix minutes, sur les machines sévèrement infectées, ce temps peut facilement doubler"

J'attend, le temps que cela se lance.
Et là, mon pc ne reboot pas, aucun message n'alerte ni rien.
L'étape 1 se termine, la 2 et la 3, au bout de 15 minutes, aucun reboot.

Puis je me rappelle bien trop tard que tu m'avais conseillé de désactiver mes antivirus, j'ouvre donc Microsoft Security et constate qu'il est déjà désactivé sans que je n'ai touché à rien.

Puis, je me rappelle, comme je l'avais mis dans mon premier post, que c'est en faisant ce constat que je l'avais relancé ainsi qu'avec une analyse, enclenchant la détection de ces merde, qui à fait reboot le pc.

Je pense que c'était donc l'antivirus qui faisait reboot la machine, pour en quelques sortes la "protéger".

Bref, les étapes défilent et quand j'arrive à la 19 environ, j'ouvre RogueKiller pour tenter une suppression.

Je lance le scan, et seul deux fichiers de type HJ sont détectés, et non zeroaccess, je lance donc une suppression qui n'en finit pas et ferme donc le logiciel.

Pendant que les étapes défilent, je ne touche à rien.
Puis arrive l'étape 50. La console bleue me dit qu'un fichier n'a pas pu être détecté, je ne me rappelle plus du quel, et m'informe de sa tentative de restauration puis de sa restauration avec succès.

La console m'informe d'un reboot à la fin de cette analyse.

L'ordi redémarre, je rentre mon pass, et j'ai droit à un bel écran noir pendant au moins 2 minutes avant l'affichage de mon bureau et de mes icones, cela ne prend normalement pas autant de temps.

La console bleue de ComboFix se lance d'elle même et m'informe de la création imminente d'un compte rendu. J'attend patiemment, et finalement, le rapport est pondu:

ComboFix 12-07-27.01 - Nico 26/07/2012 15:46:47.1.2 - x86 MINIMAL
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3327.2683 [GMT 2:00]
Lancé depuis: c:\users\Nico\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\programdata\Windows
c:\programdata\Windows\dumd.dat
c:\programdata\windows\xdor.dat
c:\users\Nico\AppData\Roaming\app
c:\users\Nico\AppData\Roaming\app\Jerakine_lang.dat
c:\users\Nico\AppData\Roaming\app\Jerakine_lang_vesrion.dat
c:\users\Nico\AppData\Roaming\Love
c:\users\Nico\AppData\Roaming\Love\mari0\mappacks\custom_mappack_1\settings.txt
c:\users\Nico\AppData\Roaming\Love\mari0\options.txt
c:\windows\assembly\GAC\Desktop.ini
.
Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\combofix\HarddiskVolumeShadowCopy8_!Windows!winsxs!x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b!services.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-26 au 2012-07-26 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-26 14:09 . 2012-07-26 14:13 -------- d-----w- c:\users\Nico\AppData\Local\temp
2012-07-26 14:09 . 2012-07-26 14:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-20 13:22 . 2012-07-20 13:23 -------- d-----w- c:\program files\Microsoft Security Client
2012-07-20 10:24 . 2012-07-20 10:56 -------- d--h--w- c:\windows\AxInstSV
2012-07-17 22:00 . 2012-07-17 22:01 -------- d-----w- c:\users\Nico\AppData\Local\Facebook
2012-07-17 12:15 . 2012-07-17 12:15 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-07-17 12:09 . 2012-07-17 12:09 133120 ----a-w- c:\users\Nico\AppData\Roaming\dfapck.dll
2012-07-13 08:01 . 2012-07-13 08:01 -------- d-----w- C:\found.000
2012-07-13 07:48 . 2012-07-13 07:48 -------- d-----w- c:\users\Nico\AppData\Local\Wajam
2012-07-13 07:48 . 2012-07-13 07:48 -------- d-----w- c:\program files\Wajam
2012-07-13 07:43 . 2012-07-13 07:43 43480 ----a-w- c:\windows\system32\drivers\toudeaup.sys
2012-07-12 16:47 . 2012-07-12 16:47 -------- d-----w- C:\Logitech® Webcam Software
2012-07-11 01:01 . 2012-06-12 02:40 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-07-09 15:36 . 2012-07-09 15:36 -------- d-----w- c:\users\Nico\AppData\Roaming\WB Games
2012-07-06 01:02 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2012-07-05 19:25 . 2012-07-05 19:25 -------- d-----w- c:\users\Nico\AppData\Roaming\EurekaLog
2012-07-03 21:08 . 2012-07-03 21:08 -------- d-----w- c:\windows\fr
2012-07-03 21:03 . 2012-07-03 21:03 89944 ----a-w- c:\program files\Common Files\Windows Live\.cache\437008a01cd595f01\DSETUP.dll
2012-07-03 21:03 . 2012-07-03 21:03 537432 ----a-w- c:\program files\Common Files\Windows Live\.cache\437008a01cd595f01\DXSETUP.exe
2012-07-03 21:03 . 2012-07-03 21:03 1801048 ----a-w- c:\program files\Common Files\Windows Live\.cache\437008a01cd595f01\dsetup32.dll
2012-07-02 11:08 . 2012-07-02 11:08 -------- d-----w- c:\users\Nico\AppData\Roaming\DragonicaECB
2012-06-30 18:16 . 2012-07-19 15:04 -------- d-----w- c:\users\Nico\AppData\Roaming\.minecraft
2012-06-30 18:16 . 2012-06-30 18:16 -------- d-----w- c:\users\Nico\AppData\Roaming\Nouveau dossier
2012-06-30 18:14 . 2012-06-30 17:19 -------- d-----w- c:\users\Nico\AppData\Roaming\stats
2012-06-30 18:14 . 2012-06-30 17:02 -------- d-----w- c:\users\Nico\AppData\Roaming\saves
2012-06-30 18:14 . 2012-06-25 23:01 -------- d-----w- c:\users\Nico\AppData\Roaming\texturepacks
2012-06-30 18:14 . 2012-06-29 17:46 -------- d-----w- c:\users\Nico\AppData\Roaming\resources
2012-06-30 18:14 . 2012-06-26 19:59 -------- d-----w- c:\users\Nico\AppData\Roaming\mods
2012-06-30 18:14 . 2012-06-30 18:15 -------- d-----w- c:\users\Nico\AppData\Roaming\bin
2012-06-30 17:46 . 2012-06-30 17:46 -------- d-----w- c:\program files\LogMeIn Hamachi
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-26 14:11 . 2012-07-18 12:53 56200 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F0F8C402-0214-420B-B11C-815E53E046B3}\offreg.dll
2012-07-20 15:41 . 2012-07-20 15:42 713784 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{9E77B116-7942-45A9-8F58-511769B62272}\gapaengine.dll
2012-06-28 23:44 . 2012-07-20 15:41 6891424 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F0F8C402-0214-420B-B11C-815E53E046B3}\mpengine.dll
2012-06-20 08:46 . 2011-11-11 10:41 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2012-06-20 08:46 . 2011-11-11 10:41 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2012-06-02 22:19 . 2012-06-25 08:55 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-25 08:55 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-25 08:55 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-25 08:55 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-25 08:55 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-25 08:55 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-25 08:55 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-25 08:55 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-25 08:55 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-05-15 03:03 . 2012-06-13 17:55 981504 ----a-w- c:\windows\system32\wininet.dll
2012-05-09 17:49 . 2012-03-08 16:34 140232 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2012-05-09 17:49 . 2012-03-08 16:36 283416 ----a-w- c:\windows\system32\PnkBstrB.xtr
2012-05-09 17:49 . 2012-03-08 16:33 283416 ----a-w- c:\windows\system32\PnkBstrB.exe
2012-05-09 17:46 . 2012-03-08 16:33 189248 ----a-w- c:\windows\system32\PnkBstrB.ex0
2012-05-09 17:46 . 2012-03-08 16:33 76888 ----a-w- c:\windows\system32\PnkBstrA.exe
2012-05-01 04:44 . 2012-06-13 17:54 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-04-28 03:17 . 2012-06-13 17:55 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-18 09:56 . 2011-07-24 12:59 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-06-06 1519304]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\prxtbuTor.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
2011-05-09 08:49 176936 ----a-w- c:\program files\uTorrentBar_FR\prxtbuTor.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2010-07-19 16:32 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-06-06 19:33 1519304 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-06-06 1519304]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR\prxtbuTor.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-06-06 1519304]
"{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}"= "c:\program files\uTorrentBar_FR\prxtbuTor.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2010-07-19 976192]
"Steam"="c:\program files\Steam\steam.exe" [2011-08-16 1242448]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-06-07 17425072]
"Facebook Update"="c:\users\Nico\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-17 138096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-10 98304]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2009-07-30 380928]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2010-08-11 1690224]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-07-11 74752]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2010-05-07 165208]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2012-06-06 1564872]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-06-27 1996200]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
c:\users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WiFi Station N.lnk - c:\program files\Hercules\WiFiStationN\WiFiN.exe [2011-7-24 128296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 cfsdmugd;cfsdmugd;c:\windows\system32\drivers\cfsdmugd.sys [x]
R1 MpKsl9574bb39;MpKsl9574bb39;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{7FF8853B-FABA-41B2-8A29-DCADFF878E7A}\MpKsl9574bb39.sys [x]
R1 tygdmzng;tygdmzng;c:\windows\system32\drivers\tygdmzng.sys [x]
R2 HerculesWiFi;HerculesWiFi;c:\windows\system32\\HerculesWiFiService.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 XDva392;XDva392;c:\windows\system32\XDva392.sys [x]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [x]
S2 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files\Hi-Rez Studios\HiPatchService.exe [x]
S2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion 3G SFR\SFRABCDService.exe [x]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [x]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]
S2 VIAKaraokeService;VIA Karaoke digital mixer Service;c:\windows\system32\viakaraokesrv.exe [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [x]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 14:09]
.
2012-07-18 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-191525579-190074991-3368664025-1000Core.job
- c:\users\Nico\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-17 22:00]
.
2012-07-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-191525579-190074991-3368664025-1000UA.job
- c:\users\Nico\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-17 22:00]
.
2012-07-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-191525579-190074991-3368664025-1000Core.job
- c:\users\Nico\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-30 17:04]
.
2012-07-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-191525579-190074991-3368664025-1000UA.job
- c:\users\Nico\AppData\Local\Google\Update\GoogleUpdate.exe [2011-12-30 17:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
FF - ProfilePath - c:\users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\iof361y7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=2&q=
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-UDK-55b58414-7484-4787-8de2-c9307a027859 - c:\program files\Steam\SteamApps\common\q.u.b.e. demo\Binaries\UnSetup.exe
AddRemove-Wajam - c:\program files\Wajam\uninstall.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-191525579-190074991-3368664025-1000\Software\SecuROM\License information*]
"datasecu"=hex:fb,c2,55,3f,fd,67,09,fb,1a,6a,37,d3,e0,11,7b,98,22,64,48,e0,ae,
d1,25,42,ab,19,de,f2,0a,52,2e,04,6b,55,c9,0b,49,40,36,15,d4,32,15,4b,ec,7c,\
"rkeysecu"=hex:c8,81,dc,e7,5c,6d,5b,e0,4f,3b,3e,94,61,b9,e8,66
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ATKFUSService.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\atieclxx.exe
c:\windows\System32\ASDR.exe
c:\windows\system32\taskhost.exe
c:\program files\ASUS\GamerOSD\ATKFastUserSwitching.exe
c:\mysql\bin\mysqld-nt.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conhost.exe
c:\windows\System32\rundll32.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\vssvc.exe
.
**************************************************************************
.
Heure de fin: 2012-07-26 16:24:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-26 14:24
.
Avant-CF: 103 546 466 304 octets libres
Après-CF: 121 746 972 672 octets libres
.
- - End Of File - - 5A40D92C44667288386F6AFA37DFA0A3

A l'heure actuelle, mon pc principal est toujours allumé. Malheureusement, ce qui m'embête est que je n'ai pas eu tous les messages que tu m'as montré dans ton post d'explication, je ne sais même pas si la console de récupération windows a été installée.

Autre chose, quand je veux cliquer sur presque n'importe quel programme, cela m'affiche "Non autorisé sur une clé de registre marquée pour suppression" ou un truc dans cet esprit. Mon antivirus est toujours désactivé également.

Que dois-je faire ? J'hésite à le redémarrer, si jamais les reboot reviennent. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 26 Juil 2012 à 23:04    Sujet du message: Répondre en citant

Re, le but est atteint, on a remis services.exe en place
On va continuer en mode normal cette fois

Télécharge [url="http://anywhere.webrootcloudav.com/antizeroaccess.exe"]AntiZeroAcces[/url]

Lance le:
Répond Yes (oui) à la question, en tapant sur Y puis Entrée

Si le fix trouve l’infection, des lignes rouges doivent apparaître.


Le fix informe qu’un des fichiers systèmes a été patché et propose de le nettoyer.
Tape Y (oui) et Entrée pour lancer le nettoyage.
Si l’opération a réussi, tu verras le message Cleaned en vert.

Appuie sur une touche et redémarre l’ordinateur. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2, 3  Suivante 
Page 1 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum