Aller au contenu

flhmd

Membres
  • Compteur de contenus

    7
  • Inscription

  • Dernière visite

Autres informations

  • Mes langues
    Français / Anglais

flhmd's Achievements

Junior Member

Junior Member (3/12)

0

Réputation sur la communauté

  1. flhmd

    Merci à vous,

    votre aide m'a surement empêché de commettre quelques gaffes irréparables. Vous avez été rapide et très efficace.

    Bonne continuation!

  2. Un grand merci à Pear, Mon problème est résolu. Votre aide m'a été d'un grand secours. Encore merci, François
  3. Bonsoir Pear, Je suis de retour sur mon ordi. J'ai du utiliser bootrec /fixmbr et bootrec /fixboot à partir de mon boot DVD. J'avais un problème de driver signature enforcement pour winload.exe après avoir fait le bootrec /RebuildBCD. J'ai fait quelques test dans google search et je ne semble plus être redirigé. Comment m'assurer que l'infection a bien été éradiquée? Y a t'il un scan recommandé? Encore une fois merci pour votre aide, François
  4. Bonjour Pear J'ai effectué les opération pour TDL4 et mon ordi ne veut plus redémarrer. J'ai sauvegarder le MBR.dat sur une clé USB mais il semblait très petit (1K). J'ai placé plus bas une copie du log. Il passe en mode réparation du démarrage les détails du problème sont les suivants: Nom du problème: StartupRepairOffline Signature du problème 01: 6.1.7600.16385 Signature du problème 02: 6.1.7600.16385 Signature du problème 03: unknow Signature du problème 04: 187 Signature du problème 05: AutoFailover Signature du problème 06: 1 Signature du problème 07: MissingOsLoader Version du système: 6.1.7600.2.0.0.256.1 Identificateur de paramêtres régionaux: 1036 Si je regarde dans les options avancées j'ai un point de récupération ZHPFix en date d'hier après-midi. Dois-je l'utiliser? il y a eu plusieurs Windows Update et mon point de restauration le plus ancien date d'après l'infection. J'écris à partir d'un portable, je ne recevrai pas de notification de zebulon.fr. Je regarderai régulièrement sur le forum pour la réponse. Merci, Copie du log: aswMBR version 0.9.8.978 Copyright© 2011 AVAST Software Run date: 2011-08-11 08:41:20 ----------------------------- 08:41:20.902 OS Version: Windows x64 6.1.7601 Service Pack 1 08:41:20.902 Number of processors: 4 586 0x1E05 08:41:20.902 ComputerName: FRANCOIS-PC UserName: Francois 08:41:23.149 Initialize success 08:41:23.273 AVAST engine defs: 11081100 08:41:34.989 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 08:41:34.989 Disk 0 Vendor: Hitachi_ ST6O Size: 953869MB BusType: 3 08:41:35.005 Disk 0 MBR read successfully 08:41:35.005 Disk 0 MBR scan 08:41:35.020 Disk 0 MBR:Alureon-I [Rtk] 08:41:35.020 Disk 0 TDL4@MBR code has been found 08:41:35.020 Disk 0 Windows 7 default MBR code found via API 08:41:35.020 Disk 0 MBR hidden 08:41:35.020 Disk 0 MBR [TDL4] **ROOTKIT** 08:41:35.036 Disk 0 trace - called modules: 08:41:35.036 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa800898a254]<< 08:41:35.036 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8008976060] 08:41:35.051 3 CLASSPNP.SYS[fffff88001bd043f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007adb050] 08:41:35.051 \Driver\iaStor[0xfffffa8007aae550] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0xfffffa800898a254 08:41:36.346 AVAST engine scan C:\Windows 08:41:38.546 AVAST engine scan C:\Windows\system32 08:42:28.201 AVAST engine scan C:\Windows\system32\drivers 08:42:35.548 AVAST engine scan C:\Users\Francois 08:55:02.992 AVAST engine scan C:\ProgramData 08:56:11.180 Scan finished successfully 09:03:47.575 Disk 0 MBR has been saved successfully to "C:\Users\Francois\Desktop\Documents\Francois\Download\aswMBR\MBR.dat" 09:03:47.575 The log file has been saved successfully to "C:\Users\Francois\Desktop\Documents\Francois\Download\aswMBR\aswMBR.txt"
  5. Bonsoir, J'y suis arrivé en scindant les clés en petits groupes. Je copie les rapports ci dessous, tu remarquera que les 2 clés suivantes généraient l'erreur mentionnée précédemment. A noter que j'ai désinstallé SPYBOT avec son désinstalleur mais je recevais quand même ces messages ??? Bien que je n'ai pas reçu la consigne de redémarrer, je l'ai fait quand même. Y a t'il autre chose à faire? Merci, PREMIÈRE PASSE: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : Run by Francois at 2011-08-10 17:48:36 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Fichier HOSTS ========== Le fichier Hosts n'est pas réparé ! ========== Récapitulatif ========== 1 : Fichier HOSTS ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn 02s J'ai nettoyé à la main les entrées de Spybot DEUXIÈME PASSE: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : Run by Francois at 2011-08-10 17:52:43 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Clé(s) du Registre ========== ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} ABSENT Key: Service: SBSDWSCService ========== Valeur(s) du Registre ========== ABSENT RunValue: SpybotSD TeaTimer ========== Fichier(s) ========== ABSENT Folder/File: c:\users\francois\appdata\roaming\adobe\plugs ABSENT Folder/File: c:\users\francois\appdata\roaming\adobe\shed ABSENT File: c:\program files (x86)\spybot - search & destroy\teatimer.exe ABSENT File: c:\users\francois\desktop\spybot - search & destroy.lnk ABSENT File: c:\users\francois\appdata\roaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk ========== Récapitulatif ========== 2 : Clé(s) du Registre 1 : Valeur(s) du Registre 5 : Fichier(s) ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn 00s TROISIÈME PASSE: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : Run by Francois at 2011-08-10 17:55:03 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Tache planifiée ========== ABSENT Task: {02C4D354-1CE6-4D68-AFB3-B2A0B6D86370} ABSENT Task: {0E42AF5F-6FB2-4F36-9616-303125F0DBF9} ABSENT Task: {34B43949-0C5F-4979-8785-1CE76B81FEBF} ABSENT Task: {3858546B-34F0-4EEB-8924-C80685108520} ABSENT Task: {91450A15-9F74-4297-9FB5-9A5DCB846B03} ABSENT Task: {A0F260CB-E355-43E3-A0D6-53E6FEC736E9} ABSENT Task: {C350452D-402E-42F6-88EF-F0A40D245688} ABSENT Task: {C38CBDC7-E5EC-4316-8061-FC880C819201} ABSENT Task: {D7D915C0-596A-45E0-8459-AB607780EB19} ABSENT Task: {E7E66D6C-4728-4237-A8DF-9AE7AE457D10} ========== Récapitulatif ========== 10 : Tache planifiée ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn 03s QUATRIÈME PASSE: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : Run by Francois at 8/10/2011 5:57:31 PM Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Logiciel(s) ========== ABSENT Software Key: {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 ========== Récapitulatif ========== 1 : Logiciel(s) ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn AMs CINQUÈME PASSE: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : Run by Francois at 8/10/2011 6:01:03 PM Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Dossier(s) ========== ABSENT C:\ProgramData\Partner ABSENT C:\ProgramData\Spybot - Search & Destroy ========== Récapitulatif ========== 2 : Dossier(s) ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn AMs SIXIÈME PASSE: ========== Dossier(s) ========== ABSENT C:\Users\Francois\AppData\Local\{1895B8D0-034D-4EF8-8A4A-FB1E6F09FE58} SEPTIÈME PASSE: ========== Dossier(s) ========== ABSENT C:\Users\Francois\AppData\Local\{1B9323A5-2CC6-4CAF-9908-E64B51FBD07F} HUITIÈME: ========== Dossier(s) ========== ABSENT C:\Users\Francois\AppData\Local\{5C76491D-3D33-4A5D-B599-6F6B0292273D} NEUVIÈME: ========== Dossier(s) ========== ABSENT C:\Users\Francois\AppData\Local\{73E3E814-54F5-471A-8B50-EDCE3089C38F} DIXIÈME: ****************************************************************************************** Cette clé cause l'erreur: O43 - CFD: 4/23/2011 - 7:43:12 AM - [0] ----D- C:\Users\Francois\AppData\Local\{B00835D8-63B0-4E72-8509-E5B8F5475A59} => Empty Folder not necessary ONZIÈME: ********************************************************************************************* Cette clé aussi: O43 - CFD: 7/12/2011 - 2:23:38 AM - [70461882] ----D- C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy DOUZIÈME et dernière: Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2011-08-10-18-12-53.txt Run by Francois at 2011-08-10 18:12:53 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : ZHPFix Fix de rapport ========== Clé(s) du Registre ========== SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.) SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.) ABSENT Key: Service: SBSDWSCService ========== Fichier(s) ========== ABSENT File: c:\windows\system32\drivers\53847026.sys ABSENT File: c:\program files (x86)\spybot - search & destroy\sdwinsec.exe ========== Récapitulatif ========== 3 : Clé(s) du Registre 2 : Fichier(s) ========== Chemin du fichier rapport ========== C:\ZHP\ZHPFixReport.txt End of the scan in 00mn 02s
  6. Bonsoir, ZHPFIX s'arrête avec la barre de progression au 3/4 et le message d'erreur suivant apparait: Violation d'accès à l'adresse 76B5FEB8 dans le module 'KERNELBASE.dll'. Lecture de l'adresse 00140043. J'ai éxécuté Zhpfix en mode administrateur et j'ai même essayé en désactivant mon antivirus (Avast). J'ai aussi désactivé SuperAntiSpyware. En passant, la clé 01-Hosts:172.21.52.234FXTS.wm.cginet est en lien avec un de mes serveurs pour mon travail. Je peux quand même l'enlever, je le réinstallerai plus tard.
  7. Salut pear, C'est fait: Lien CJoint.com AHktwCbmT3r Merci d'avance pour ton aide
  8. Bonjour, Je suis au prise avec un virus de redirection Google. J'ai tout essayé sans succès ESET, Malwarebytes, SuperAntiSpyware, Spybot, CCleaner, tdskiller. Je suis prêt à tenter ComboFix mais j'aurais besoin d'un guide. Quelques détails: J'utilise Windows 7 / 64 Mon antivirus est AVAST et il me donne constamment une alerte pour un bloquage de site malveillant (64.111.211.170) URL:MAL Il semble que IE soit lancé en cachette je le vois apparaitre dans mon Gestionnaire de tâche même s'il n'est pas visible sur le bureau. Je l'ai stoppé avec le gestionnaire de tâche mais il réapparait après une ou 2 minutes (toujours en background). Toute aide de quelqu'un s'y connaissant bien serait appréciée. François
×
×
  • Créer...