bibaloo

Bonjour tout le monde! Voila, j'ai pas trop eu l'occasion de m'en occuper depuis donc ça a beaucoup trainé, mais ça y est j'ai résolu le problème! Et bien sur grâce a toi bernard53 merci pour ton lien! En fait je suis quasiment certain d'avoir été victime du malheureusement célebre virus "gendarmerie nationale", sauf que la fameuse "page blanche" que j'avais au démarrage était due au fait que mon internet explorer n'est pas du tout à jour(je ne l'utilise jamais) , donc quand je le démarre il m'affiche automatiquement une page blanche avec le même message d'erreur: Sinon j'aurais du voir une page internet "gendarmerie nationale" ou "police nationale" ou autre, j'en suis sur, les symptômes sont exactement les mêmes...! donc pour débloquer tout ça une restauration à une date antérieure a suffi: Démarrer windows en mode sans echec + invite de commandes et taper la ligne suivante: %systemroot%/system32/restore/rstrui.exe Je met cette adresse car j'ai galéré à la trouver écrite sous sa forme exacte...! Sinon depuis tout marche de nouveau sur mon pc a part une chose: depuis il est devenu particulièrement lent!! a un tel point que ça fait peur , en particulier quand j'essaie d'arrêter le système, ça doit bien mettre dix minutes à s'arrêter maintenant, alors que d'ordinaire ça prend maxi 20 secondes! Aurais tu encore un judicieux conseil à me donner? merci

Ok merci du tuyau, je suis parti pour l'instant, je fais ça dès que je rentre après mes exam, début juin!

Non, après reboot il n'y a pas de changement mais j'ai laissé toutes les cases sur "skip" à la fin, pas de "cure" ni "delete" car il n'y avait que des "suspicious object" (menace de niveau moyen)...

Ok, en fait combofix se lance, mais c'est juste que je ne sais pas s'il marche correctement... Sinon le log TDSSKiller, qui apparemment n'a rien trouvé: Lien CJoint.com BEiqBXqABJA Et je sais pas si c'est utile, mais après je suis allé dans "parametres" Et j'ai coché les 2 cases du bas (additional options) Puis j'ai relancé un scan et la le résultat est un peu différent : Lien CJoint.com BEiriKcyr2H

J'ai quelques problèmes pour éxécuter combofix: Déja je n'arrive pas a l'installer sur Reatogo, donc obligé de le faire sur Windows XP en invites de commandes sans échec, ou je n'ai pas de connexion internet...! Aussi, bien que j'aie créé un cd de console de récupération xp, combofix ne le voit pas et me dit "La console de récupération MS Windows n'est pas installée sur ce PC. Sans elle, Combofix n'essaiera pas de corriger certaines infections graves il me propose de la télécharger et de l'installer, mais vu que je n'ai pas de connexion... Sinon je n'arrive pas à désactiver complètement Avira Antivir, ce qui apparament perturberait "Combofix" aussi (pourtant je l'ai désactivé avec "Starter.exe") Et Au final, même résultat que la fois précédente: En cours de scan j'ai le message suivant: Votre PC est infecté par un Rootkit.ZeroAccess! Il s'est inséré dans la pile tcp/ip. C'est une infection particulièrement compliquée...(j'ai oublié la fin, mais en gros ça me dit de redémarrer à la fin du scan, et si ça ne marche pas, relancer "Combofix")... Ensuite, deux autres messages, le premier me dit "Rootkit détécté!", l'autre "Combofix doit faire redémarrer le PC". Après redémarrage, en mode normal ça bloque toujours, et en invites de commandes le rapport Combofix est toujours introuvable: ni dans C:\Combofix.txt, ni sur le bureau...

Voila c'est fait: Lien CJoint.com BEhu4R1gVoF y'a toujours le problème...

C'est ok pour Reatogo, juste le temps d'aller acheter des cd vierge et j'ai pu retrouver ma connexion déja! Et le rapport OTLPE (il est un peu long!..): Lien CJoint.com BEhtFbv5q8m Encore merci de ta patience et de ton attention pour mon souci

Ok c'est tout décoché, y'a juste une petite remarque: O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [EEventManager] "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [combofix] "C:\ComboFix\CF11968.3XE" /c "C:\ComboFix\C.bat" O4 - HKLM\..\RunOnce: [OTL] "C:\Documents and Settings\Administrateur\Bureau\OTL.exe" O4 - HKLM\..\RunOnce: [combofix] "C:\ComboFix\CF11968.3XE" /c "C:\ComboFix\C.bat" O4 - HKLM\..\RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q "" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MegakeyUpdater] C:\Documents and Settings\Administrateur\Local Settings\Application Data\Megamedia\Megakey\MegakeyUpdater.ex O4 - HKCU\..\Run: [EPSON SX130 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIHJE.EXE /FU "C:\WINDOWS\TEMP\E_S231.tmp" /EF "HKCU" O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') en bleu: [NvCplDaemon] Je suis censé avoir une seule ligne, mais j'en avait 2... (j'ai décoché les deux du coup) en rouge: [nltide_2] La c'est le contraire, j'ai deux lignes ici, mais je n'avait qu'une seule case! Sinon j'ai redémarré en mode normal et... toujours le même problème! Grrr! le nouveau log HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:35:48, on 06/05/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\trend micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Orange : téléphones, forfaits, Internet, actualité, sport, video (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: http://*.mappy.com O15 - Trusted Zone: http://*.orange.fr O15 - Trusted Zone: Orange : téléphones, forfaits, Internet, actualité, sport, video O15 - Trusted Zone: http://orange.weborama.fr O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229545092625 O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6730 bytes Edit: En fait, une des 2 lignes "nvcpldaemon" est encore la! vérif faite, elle est impossible a supprimer avec Starter, j'ai beau la décocher, elle revient toute seule dès que je redémarre!

Ah, et a toutes fins utiles j'ai fait un hijackthis (v 2.02) aussi, si ça peut t'aider: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:58:47, on 05/05/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [EEventManager] "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [combofix] "C:\ComboFix\CF11968.3XE" /c "C:\ComboFix\C.bat" O4 - HKLM\..\RunOnce: [OTL] "C:\Documents and Settings\Administrateur\Bureau\OTL.exe" O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [combofix] "C:\ComboFix\CF11968.3XE" /c "C:\ComboFix\C.bat" O4 - HKLM\..\RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q "" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MegakeyUpdater] C:\Documents and Settings\Administrateur\Local Settings\Application Data\Megamedia\Megakey\MegakeyUpdater.exe O4 - HKCU\..\Run: [EPSON SX130 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIHJE.EXE /FU "C:\WINDOWS\TEMP\E_S231.tmp" /EF "HKCU" O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Orange : téléphones, forfaits, Internet, actualité, sport, video (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: http://*.mappy.com O15 - Trusted Zone: http://*.orange.fr O15 - Trusted Zone: Orange : téléphones, forfaits, Internet, actualité, sport, video O15 - Trusted Zone: http://orange.weborama.fr O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229545092625 O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Program Files\Fichiers communs\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8405 bytes

C'est fait! Mais zbotkiller ne trouve rien: Infected files: 0 Infected threads:0 Unhooked functions:0 Deleted files:0 Fixed registry keys:0 Et le pc bloque toujours au démarrage...

Pour l'instant c'est toujours pareil, une fenetre blanche apparait à l'ouverture du bureau en mode normal et bloque tout. j'ai lancé gmer, mais la un truc tout bête (mais pas moins chiant): c'est que je ne peut pas sortir le rapport car je n'ai pas accès a la touche "save"! meme pas a la touche "copy" d'ailleurs! je m'explique: Je pense que c'est du a la résolution diminuée de mon écran du au mode sans échec; il n'y a pas de barre de défilement à droite donc je ne peut pas voir tout ce qu'il y a en dessous de la touche "scan"... Aucune ligne rouge au final dans l'onglet "Rootkit/Malware", mais en dernière ligne j'ai ça: Type: Disk Name: \Device\Harddisk0\DR0 Value: malicious Win32:MBRoot code @ sector 240091428 Pourtant cette ligne n'est pas en rouge...

Ok c'est fait! Il ne m'a pas demandé de redémarrer par contre Le rapport: Lien CJoint.com 0EdvH3u7Pbv

Voila le rapport ZHPdiag: Lien CJoint.com 0Edo5MSPKWq

Alors, J'ai fait la manip pour purger ma connexion (pour sp3) Après redémarrage, la connexion ne marche toujours pas... j'ai lancé "antizeeroaccess", il n'a rien trouvé (bizarre!) voici le log: Webroot AntiZeroAccess 0.8 Log File Execution time: 02/05/2012 - 20:36 Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3 20:37:26 - CheckSystem - Begin to check system... 20:37:26 - OpenRootDrive - Opening system root volume and physical drive.... 20:37:26 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x0E4F80E2 sectors. 20:37:26 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys". 20:37:33 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084 20:38:36 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed. 20:38:36 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted! 20:38:36 - Execution Ended! sinon j'ai téléchargé une image de console de récupération windows que j'ai mis sur une clé usb via unetbootin => Mon lien J'ai fait un essai en redémarrant mon pc, ça marche! Sinon impossible de mettre la main sur le rapport "combofix"!! je refais un essai? Quand tu dis "également ici", je devrais le trouver ou normalement? il n'est pas sur mon bureau non plus... Merci

Bonsoir, alors voila déja le rapport roguekiller: RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/51) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date: 02/05/2012 18:56:16 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [sUSP PATH] HKLM\[...]\RunOnce : OTL ("C:\Documents and Settings\Administrateur\Bureau\OTL.exe") -> FOUND [bLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6Y120L0 +++++ --- User --- [MBR] bbc59a5237f68bd54757282618ef840e [bSP] 8cb975fd4689a01361bee3f8f1eaf955 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117232 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt J'ai ensuite lancé Zbotkiller qui n'a rien trouvé... Puis j'ai installé et lancé combofix, mais problème: je n'ai plus accès directement a internet depuis le pc malade, donc je n'ai pas pu installer la console de récupération MS Windows mais combofix s'est lancé malgré tout, et m'a affiché un message "combofix a trouvé le rootkit "ZeroAccess". Il s'est inséré dans la pile tcp/ip". Me précisant ensuite que c'est une opération particulièrement délicate, il m'invite a redémarrer, puis relancer combofix si cela ne suffit pas. une fois que combofix a fini, j'ai redémarré le pc (en mode normal), toujours pas d'amélioration... je n'ai pas encore relancé combofix. Est-ce que je peut télécharger la console de récupération Windows et l'installer à partir d'une clé usb sinon?

Bonsoir bernard53! un petit up parce que je n'ai pas eu l'occasion de retoucher mon ordi depuis ma dernière réponse ! oui je sais ça fait un petit moment, mais je ne savais pas quand j'aurais l'occase exactement, alors plutôt que de dire des bêtises, j'ai préféré m'abstenir...! Voila je veut donc te prévenir que je serai présent à partir de ce weekend pour un bon moment, donc on pourra continuer la désinfection (ou l'éradication, j'espère ) J'en suis toujours au même point, l'ordi aussi, je dois faire ceci: Et ok, pas de restauration Voilou, je m'y met ce weekend, @++!

Ok, je ferai le scan dès que je rentre (sûrement ce week-end), sinon je viens de voir ça sur le forum: Infection grave - Forums Zebulon.fr ça m'a fait penser que je n'ai pas encore essayé cette manip!... Qu'est-ce que tu en dis? Je devrais tu crois? @+

Ben en théorie c'est mieux car pas mal de fichiers infectés ont sauté, mais non car j'ai toujours le même problème, une fenêtre qui s'ouvre de façon intempestive à l'ouverture de windows, qui plante tout et m'empêche d'ouvrir windows normalement... Pour ouvrir ou exécuter des programmes je n'ai pas d'autre choix que de démarrer en mode sans échec->invites de commandes, là la fenêtre ne s'ouvre pas (en sans échec normal si!)... mais du coup, pas de prise en charge réseau! Donc pour installer MBAM et les autres logiciels je les télécharge sur un autre PC, les met sur une clé usb et les transfère sur mon PC malade... Et vice-versa pour récupérer les rapports et les poster ici

Bonsoir Bernard53, t'as bien raison de profiter de ton dimanche, c'est cool d'avoir pris le temps de me répondre malgré tout! (et ça m'arrange car demain je ne serais plus sur place, je peux faire ces vérifs avant de partir!) Alors pour TDSSKiller, je n'ai pas trouvé comment récupérer le rapport, mais il a trouvé un "sinowal" que j'ai ensuite curé...j'ai oublié ou il l'a trouvé, je l'ai pas noté c'est ballot... Après un nouveau scan il ne trouve plus rien. Sinon voici le rapport "correction" d'OTL: Lien CJoint.com 0ClxdoBk5rP Le rapport MBAM: Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Version de la base de données: v2012.01.13.04 Windows XP Service Pack 3 x86 NTFS (Mode sans échec) Internet Explorer 8.0.6001.18702 Administrateur :: P-2B5ED862B8794 [administrateur] 11/03/2012 20:00:36 mbam-log-2012-03-11 (20-00-36).txt Type d'examen: Examen complet Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 284519 Temps écoulé: 1 heure(s), 30 minute(s), 38 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 2 C:\Documents and Settings\Administrateur\Mes documents\Downloads\Programs\SoftonicDownloader_pour_free-mp3-wma-converter.exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès. C:\System Volume Information\_restore{0E58148C-D556-4ADB-81D3-71BE1AD88E98}\RP464\A0136622.dll (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès. (fin) Voila tout... Il y a quand meme un problème avec MBAM, c'est que bien qu'il m'ait trouvé des fichiers infectés, je n'ai pas pu le mettre à jour en l'installant sur la machine (plus de connexion en invites de commandes!) donc il a 58 jours de retard d'après ce qu'il m'a dit à l'installation, ça suxx... Peut etre que je peux l'installer et le mettre a jour sur une autre machine, puis faire un transfert de fichiers, une genre de mise à jour manuelle? En tout cas pour l'instant je dois partir, je ne reviens que vendredi prochain au mieux, mais je jetterai un oeil sur ta réponse d'ici-la bien sur!... Le problème est toujours là pour l'instant... A bientôt merci

Bonsoir, et merci pour ton aide! Alors, voici le rapport Roguekiller avant suppression: RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/47) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date: 10/03/2012 19:25:06 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 12 ¤¤¤ [sUSP PATH] HKCU\[...]\Run : Megakey (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Megamedia\Megakey\Megakey.exe /Tray) -> FOUND [sUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> FOUND [sUSP PATH] HKUS\S-1-5-21-602162358-299502267-1606980848-500[...]\Run : Megakey (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Megamedia\Megakey\Megakey.exe /Tray) -> FOUND [sUSP PATH] HKUS\S-1-5-21-602162358-299502267-1606980848-500[...]\Run : Badoo Desktop (C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> FOUND [sUSP PATH] HKCU\[...]\Windows : load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{76058~1.EXE) -> FOUND [sUSP PATH] HKUS\S-1-5-21-602162358-299502267-1606980848-500[...]\Windows : load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{76058~1.EXE) -> FOUND [bLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6Y120L0 +++++ --- User --- [MBR] bbc59a5237f68bd54757282618ef840e [bSP] 8cb975fd4689a01361bee3f8f1eaf955 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117232 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt Rapport Roguekiller après suppression: RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/47) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date: 10/03/2012 19:50:04 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 9 ¤¤¤ [sUSP PATH] HKCU\[...]\Run : Megakey (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Megamedia\Megakey\Megakey.exe /Tray) -> DELETED [sUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> DELETED [sUSP PATH] HKCU\[...]\Windows : load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{76058~1.EXE) -> DELETED [bLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6Y120L0 +++++ --- User --- [MBR] bbc59a5237f68bd54757282618ef840e [bSP] 8cb975fd4689a01361bee3f8f1eaf955 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117232 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Et le rapport OTL (il n'y en a qu'un): Lien CJoint.com 0Cku5OG7ABJ Voila, je poste toujours depuis un autre ordi, après redémarrage toujours le même problème...

Bonsoir à tous, et un grand merci d'avance pour vos réponses car sa m'a l'air assez sévere! Voila, samedi dernier alors que je surfais avec firefox, une fenetre s'est ouverte inopinément, bloquée de suite par mon gestionnaire d'accès qui me dit que je ne suis pas autorisé à visionner ce site (une adresse qui commence par "www.disney.net" quelque chose comme ça) et me demande un mot de passe superviseur (que je ne connais pas car je n'ai jamais programmé ce gestionnaire d'accès!)... Donc je passe outre et ferme la fenêtre du gestionnaire...et la, cette fameuse fenêtre "disney" passe en plein écran, mais rien ne s'affiche donc écran blanc et plus rien ne se passe!... ... Je décide donc de rebooter mon pc, seulement depuis la meme chose se reproduit avant même que le bureau soit chargé! Je ne peut donc plus rien lancer en mode normal, en mode sans échec avec et sans prise en charge réseau c'est pareil! La seule solution que j'aie trouvé pour lancer des programmes est de démarrer en lignes de commande, puis de faire ctrl+alt+supr, gestionnaire des tâches, nouvelle tâche et la j'arrive a lancer des programmes donc j'ai pu faire un scan ANTIVIR, qui m'a trouvé 2 trojan et mis en quarantaine, puis un MBAM ensuite (une vieille version pas du tout à jour), mais qui m'a quand meme trouvé et supprimé 2 fichiers corrompus... Mais en rebootant, toujours pareil, impossible d'arriver jusqu'a mon bureau! La je sèche, je sais vraiment plus quoi faire! J'ai quand meme la possibilité de sauvegarder ce qui peut l'être, mais je n'ai plus d'accès direct a internet avec cette machine, pour tout nouvel outil de diag ou autre je dois passer par une clé usb... Je précise quand même qu'il n'y a rien d'urgent, je n'aurai pas accès à cet ordi avant vendredi soir ! La config de l'ordi est celle de mon profil. Encore merci pour votre aide

Jvé faire tout ça Tout est ok pour moi merci apollo! @++

Bon, alors pour le rapport de scan: Cijoint.fr - Service gratuit de dépôt de fichiers et pour le nettoyage: Cijoint.fr - Service gratuit de dépôt de fichiers G fait ma BA moi aussi apparemment j'ai dépanné un type pr un pb mécanique aujour d'hui sur un autre forum, je viens de voir ça En tout cas c exellent ske vous faites encore merci

OK je m'en vais virer avast pour antivir de toute façons c'est ce que je comptai faire j'entend partout que ça vaut plus rien!