mode sans echec qui ne redemarre plus ( entre autre )

[tristis]

salut à tous

 

 

 

j'ai depuis hier soir un petit problème : a n'importe quel moment mon pc se gele , plus moyen de bouger la souris , plus moyen d'activer quoi que ce soit . j'ai éssayé un scan online , le pc a freezé , j'ai essayé un scan normal , idem : je me suis dit alors je vais tenter le mode sans echec , et la il s'avere que je ne peux plus le redemarrer en mode sans echec . j'ai finalement réussi a le scanner avec panda online mais son scan ne parle pas de virus : a vrai dire j'ai meme un peu plus peur de la conclusion :

 

 

ncident Status Location

 

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\miki\Cookies\miki@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\miki\Cookies\miki@xiti[1].txt

Adware:Adware/Maxifiles Not disinfected C:\Program Files\Fichiers communs\{384C5C6D-07C7-1036-0808-030320030021}\Bar888.dll

Adware:Adware/Maxifiles Not disinfected C:\Program Files\Fichiers communs\{384C5C6D-07C7-1036-0808-030320030021}\UnInstall.exe

Adware:Adware/Maxifiles Not disinfected C:\Program Files\Ipwindows\ipwins.dll

Potentially unwanted tool:Application/Processor Not disinfected C:\SDFix\apps\Process.exe

Virus:Eicar.Mod

 

cette ligne me fait assez peur

 

( Potentially unwanted tool:Application/Processor Not disinfected C:\SDFix\apps\Process.exe )

 

pour le reste ce sont des spywares , adaware ne les a pas stoppé .......

 

le truc qui me fait peur pour le scan ou pour scanner les spywares c'est de ne plus pouvoir demarrer en mode sans echec ?

 

, f 8 , je peux selectionner l'option , demarrer windows , et la ça bloque ????

 

auriez vous une idée ?

 

je vous met ci dessous le scan hijack this en mode normal donc

 

 

ogfile of HijackThis v1.99.1

Scan saved at 14:08:28, on 04/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Program Files\avpcc.exe

D:\Program Files\avpm.exe

D:\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\WINDOWS\System32\svchost.exe

D:\Personal Firewall 4\kpf4gui.exe

D:\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

D:\qttask.exe

D:\DAEMON Tools\daemon.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

D:\Program Files\Calendrier\Cld2000.exe

C:\WINDOWS\system32\taskmgr.exe

I:\formatage 2\maxthon le bon\Maxthon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\miki\Bureau\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pense-malin.com/secured/index.c...7&CFTOKEN=0

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [LogitechVideoRepair] D:\ISStart.exe

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "D:\Program Files\ogrc.exe"

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU\..\Run: [Pense-Bête] C:\Program Files\Pense-bete\pb79a.exe

O4 - HKCU\..\Run: [Cld2000.exe] D:\Program Files\Calendrier\Cld2000.exe

O4 - Startup: mesure du cpu.lnk = C:\WINDOWS\system32\taskmgr.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1167794246689

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - D:\Program Files\avpcc.exe" /Service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - D:\Program Files\avpm.exe" /Service (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

 

 

 

merci d'avance de vos suggestions

[Zonk]

Allo

Commencons par cela

http://forum.zebulon.fr/index.php?showtopic=106175&hl=

ensuite....

 

 

Va dans Poste de travail/Ton ou tes disques/Propriétés/Outils/Vérifications des erreurs/Options de vérifications du disque....ca corrigera les erreurs si le besoin est ..tu coche les deux.....et la démarche sera assez longue(30- 50 minutes)....si tu passes au travers,alors c'est un bon signe....si ca gèle,alors problème de disque....(N'oublie pas de faire tout tes disques c'est ton cas)

A+

edit:Ton rapport semble infecté

http://forum.zebulon.fr/index.php?showtopic=83986

 

Sur ton D

04 - HKCU\..\Run: [Cld2000.exe] D:\Program Files\Calendrier\Cld2000.exe

Quesque c'est ???

et la ligne 016 Akamai.net semble suspect

edit:...le calendrier,est ce cela

http://www.xtralog.com/calendrier/documentation.htm

Modifié le 4 mars 2007 par Zonk

[bruce lee]

Bonjour a tous,

 

tristis, avant de faire la procédure préliminaire fais ceci:

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[Zonk]

Voici du renfort! (BL)

[tristis]

j'ai supprimé la ligne 16 ( akamai ) elle correspondait a l'antvirus en ligne de secuser.com dont je n'avais plus besoin , et l'autre ligne correspond bien à un calendrier que j'ai installé et qui semble t'il est clean . voici le resultat du scan blacklight

 

3/04/07 16:29:15 [info]: BlackLight Engine 1.0.55 initialized

03/04/07 16:29:15 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/04/07 16:29:15 [Note]: 7019 4

03/04/07 16:29:15 [Note]: 7005 0

03/04/07 16:29:20 [Note]: 7006 0

03/04/07 16:29:20 [Note]: 7011 1620

03/04/07 16:29:20 [Note]: 7026 0

03/04/07 16:29:20 [Note]: 7026 0

03/04/07 16:29:25 [Note]: FSRAW library version 1.7.1021

03/04/07 16:33:00 [Note]: 2000 1012

03/04/07 16:33:40 [Note]: 7007 0

 

j'attends la suite

 

a noter que j'ai pu scanner mon pc avec kaspersky il n'a rien détécté , pourtant le mode sans echec me reste encore interdit

 

 

 

tristis, avant de faire la procédure préliminaire fais ceci:

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[bruce lee]

Re,

 

 

1/affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser qttask.exe qui se trouve ici:

 

D:\qttask.exe

 

 

et post le resultat.

 

@+

[tristis]

en fait mon pc est déja configuré avec les fichiers cachés etc . je crois me souvenir que qttask.exe correspond a quicktime

le scan en dessous semble le prouver

 

 

04 Mar 2007 17:51:20 (GMT)

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

j'étais parti au bowling

 

donc je n'ai pas suivi les réactions de mon pc , mais quand je suis rentré kaspersky , me mettait un message d'erreur , du type ,

 

kaspersky a du fermer etc .....

 

je pense qu'il y a une couille ne serait ce que le mode sans echec qui reste innaccessible puis kaspersky qui ferme tout seul . pourtant j'ai pu faire un scan de panda sans virus apparent , et un scan kaspesky , sans résultat ...

 

par contre donc je n'ai pas pu scanner en mode sans echec .

 

merci de votre aide

 

Re,

1/affiche tout les fichiers:

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser qttask.exe qui se trouve ici:

 

D:\qttask.exe

et post le resultat.

 

@+

[bruce lee]

Re,

 

On va verifier si tu as un rootkit:

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[tristis]

arf

 

 

j'ai choisi 2 ( la fatigue aidant )

 

voila le rapport

mitFraudFix v2.147

 

Rapport fait à 21:38:22,91, 04/03/2007

Executé à partir de C:\Documents and Settings\miki\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

je ne peux toujours pas rédémarer en mode sans echec , au passage j'ai réinstallé antivir .

 

merci de votre aide

 

 

Re,

 

On va verifier si tu as un rootkit:

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[Zonk]

Réinstaller Antivir??..bonne idée!!!