Féchiay

Problème réglé par moi-même, merci tout de même.

Bonjour. J'ai un malware qui a infecté mes browsers, plein de liens hypertextes sont créés sur des mots clés et redirigent sur des pubs, sur toutes les pages. Les URLs commencent par : "http://i.trkjmp.com" c'est un malware connu (CF : Google). J'ai fait une désinfection complète, j'ai utilisé ZHPDiag (+fix), RogueKiller, AdwCleaner, Mbam, RstHosts, rien n'y fait. J'ai besoin de votre aide ! Merci !

Merci beaucoup !

Bonjour. Cela me dit que le système a trouvé des fichiers endommagés. Je n'arrive pas à réparer. De plus, la commande : sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\Windows ...ne passe pas. Merci

Est-ce que j'essaie encore avec un autre logiciel ?

Bon. MBAM est terminé et n'a rien détecté. Toujours impossible de boot l'ordinateur en mode normal... que faire ? Merci.

Salut. J'ai édité mon PS peu après. Je n'ai pas de rapport 6, j'ai du oublier quelque chose. Avant d'essayer de réparer Internet, je vais faire une analyse MBAM complète, cela peut aider, peut-être qu'avec les nettoyages qu'on a fait il va enfin réussir à tourner. Je vous tiens au courant, merci encore !

Bonjour. Navré, je doute que cela serve à quelque chose étant donné qu'il m'est impossible de me connecter à Internet avec la machine (elle refuse, sûrement à cause d'une infection !) Merci d'avance pour votre super boulot. PS : Pour roguekiller, je n'avais que 5 rapport !

Merci beaucoup ! Voilà :

Merci. Du coup, vu que les temporaires sont vidés, ZHPDiag est passé comme prévu. Voilà le rapport : Rapport de ZHPDiag v1.31.19 par Nicolas Coolman, Update... - justpaste.it

Bonjour. La suppression est en cours.

Bonjour. J'ai relancé ZHPDiag, il bloque de nouveau à 84%. Il me semble, de mémoire, que vous disposez d'un outil pour clean les fichiers temporaires inutiles ? En tous les cas, chaque fois que ZHPDiag bloque, c'est dans AppData\Local\Temp\... Merci

RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : pina [Droits d'admin] Mode : Recherche -- Date : 10/09/2012 02:33:21 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [RUN][bLACKLIST DLL] HKLM\[...]\Run : USB2Check (RUNDLL32.EXE "C:\Windows\system32\PCLECoInst.dll",CheckUSBController) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++ --- User --- [MBR] 3dff5836abb93526ff8a10873d3804e6 [bSP] f5f570bdc394ffc81318fe70190ce8e5 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228845 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 468676608 | Size: 9626 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: USB Device +++++ --- User --- [MBR] c9cb24535dc4589b798442475ac53e54 [bSP] 2b74f452d755b540635c759f3aafcf8a : MBR Code unknown Partition table: 0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1911 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : pina [Droits d'admin] Mode : Suppression -- Date : 10/09/2012 02:34:42 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [RUN][bLACKLIST DLL] HKLM\[...]\Run : USB2Check (RUNDLL32.EXE "C:\Windows\system32\PCLECoInst.dll",CheckUSBController) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++ --- User --- [MBR] 3dff5836abb93526ff8a10873d3804e6 [bSP] f5f570bdc394ffc81318fe70190ce8e5 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228845 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 468676608 | Size: 9626 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: USB Device +++++ --- User --- [MBR] c9cb24535dc4589b798442475ac53e54 [bSP] 2b74f452d755b540635c759f3aafcf8a : MBR Code unknown Partition table: 0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1911 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : pina [Droits d'admin] Mode : HOSTS RAZ -- Date : 10/09/2012 02:35:34 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : pina [Droits d'admin] Mode : Proxy RAZ -- Date : 10/09/2012 02:35:48 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/59) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : pina [Droits d'admin] Mode : DNS RAZ -- Date : 10/09/2012 02:36:00 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Bonsoir. MBAM bloqué à ~150'000 fichiers scannés, puis s'arrête de tourner. ZHP tourne jusqu'à 84%, puis une erreur critique interne survient, je mets OK, le soft continue de tourner mais n'avance plus.... On est bloqués ??

Bon je dois filer Merci encore pour l'aide. Dès que je rentre, je poste tous les rapports et celui de MBAM aussi (je laisse tourner un scan complet pendant mon absence). Merci !!

Justement, je ne peux rien faire vu que je n'ai accès ni au sans échec ni au mode normal. Bon j'ai redémarré une quinzaine de fois et ça a fini par passer. Je lance ZHP.

En fait, ça ne marche pas... ça reste coincé plus loin. J'ai essayé en mode invite de commande, ça passe, mais le reste a pas l'air de vouloir. Ensuite, l'ordinateur redémarre et se relance normalement.

C'est bon, pardonnez-moi, c'est lancé Manque de patience de ma part.

J'ai fait adwCleaner. J'ai redémarré après la suppression (en sans échec vu qu'en normal ça passe pas) et depuis 5 minutes il est bloqué, dans le loading, sur : Windows\System32\drivers\crcdisk.sys Que faire ?

Bon, je pense qu'il est effectivement TRES infecté. J'ai démarré en sans échec et... il y a Ares, eMule, et j'en passe et des meilleures. De plus, impossible de se connecter au réseau même en sans échec avec prise en charge. J'ai remarqué qu'il y a l'URL "babylon......" sur ses browser, URL que j'ai remarqué, par défaut, sur des machines infectées. En plus, il utilise une clé USB qui semble loin d'être propre. Enfin bref, du boulot tout ça, merci d'avance. En attendant, je vais y transférer MBAM et faire un scan complet.

Bonjour. J'ai un ami qui passe quelques jours chez moi et son PC ne démarre pas comme il faut (on bloque sur "Bienvenue" de la session). Par contre, en sans échec, pas de problème. On ne sait pas ce qui se passe, enfin j'ai une petite idée car il est très mauvais en informatique et disons... télécharge tout et n'importe quoi. Je suis persuadé qu'il y a des virus... comment faire ? Merci

Bon. J'ai viré Avira. J'ai installé Kaspersky (oui j'ai une license) et fait une analyse complète, il a sorti 3 petites infections en 7h de scan, de plus, il est environ 8x plus lourd que la moyenne des autres AV. Du coup, j'ai viré Kaspersky et j'ai acheté NOD32. Après 3h de scan (pour la même portion que Kaspersky qui a pris 7h) il m'a sorti 21 infections détaillées, de petites à graves. De plus, il est tellement moins lourd que Kaspersky, c'est presque incroyable. J'ai fait mon choix, à mon avis Kaspersky est un bon AV (mieux que Avira) mais loin d'être dans le top. Merci encore de ton aide, à+

Je comprends ! Merci. Et sinon pour l'infection, c'est réglé ? J'ai pas eu de message depuis quelques jours, mais je suis pas sûr.

http://justpaste.it/12hx Voilà le rapport, merci. Qu'est-ce que tu recommandes comme AV ?

Recherche débutant dans 'C:\Users\ANONYMOUS\AppData\Local\Temp\tmpA9EE.tmp' C:\Users\ANONYMOUS\AppData\Local\Temp\tmpA9EE.tmp [RESULTAT] Contient le modèle de détection de l'exploit EXP/Multiplexss [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '56d9f7c1.qua' ! Recherche débutant dans 'C:\Users\ANONYMOUS\AppData\Local\Temp\tmpD47B.tmp' C:\Users\ANONYMOUS\AppData\Local\Temp\tmpD47B.tmp [RESULTAT] Contient le modèle de détection de l'exploit EXP/Multiplexss [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e4ed866.qua' ! Donc je peux pas le virer... j'en fais quoi ? Il revient en boucle, tous les jours ou deux... il doit y avoir une infection dormante ?