PC qui redémarre systématiquement...

[Thanos]

salut

 

Oui je bosse de nuit en fait! et là je rentre du boulot lol!

Bon, je te laisserai une procédure cette après midi : c'est un cas un peu compliqué car le pc est instable, mais j'espère qu'on va faire la peau à ce malware

@ toute @ l'heure....

[karo02]

Salut !

Et moi je commence ma journée de travail...

 

Je croyais avoir bien protégé mon ordi avec un pare-feu, un antivirus et un anti-spyware (configurés comme indiqué dans le site de Malekal suite à une précédente infection il y a 2 ans), j'ai dû rater un truc pour me choper des malwares à ce point.

 

Au pire si c'est vraiment trop compliqué de se débarasser de ce $%&*@@# de malware, je peux toujours formater le PC et réinstaller windows ? Ca existe quand même pas encore les bestioles qui résistent à ce genre de traitement ?

Et je dois pouvoir récupérer tous mes docs en mode sans échec ?

Ou alors vaut mieux pas parce que je risque de récupérer le malware en même temps et que du coup il vaut mieux essayer de décontaminer que reformater ?

 

En tout cas merci beaucoup encore une fois pour ton aide !

[Thanos]

salut

 

Ne t'inquiêtes pas, on va effectuer une procédure (pas compliquée) qui devait t'en débarrasser. Je te poste ca sous peu

Quand à savoir ou tu as chopé ces infections, il faudra certainement voir au niveau des téléchargements faits avant l'apparition de ces problèmes ou des sites visités.

Modifié le 23 novembre 2007 par charles ingals

[karo02]

Salut !

 

OK, on va bien finir par y arriver (enfin quand je dis "on", c'est toi qui fais tout le boulot !).

En attendant, est-ce que je peux commencer la procédure de pré-désinfection indiqué en post-it sur le PC qui marche, ou il vaut mieux pas ?

(je me dis que s'il commence à merder aussi, je suis mal barrée !).

Modifié le 23 novembre 2007 par karo02

[Thanos]

Salut

 

Désolé pour l'attente! On laisse de côté la procédure de pré-désinfection pour le moment car elle n'arrangerait rien

 

Voici la suite >

 

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

 

Clic sur l'onglet "rootkit" et clic sur Scan

Lorsque le scan est terminé, clic sur "copy"

 

Ouvre le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

 

A ca on s'attaque au responsable

Modifié le 23 novembre 2007 par charles ingals

[karo02]

Coucou !

 

Ne t'excuse pas pour l'attente, je trouve déjà ça super que tu m'aides comme ça !

 

Par contre avec gmer, dans l'onglet "rootkit" je n'ai pas de bouton scan, il y a OK ou cancel (et OK ne lance visiblement pas de scan).

L'onglet rootkit ressemble plutôt à un onglet de config, avec les cases à cocher system, libraries, services etc.

Sur l'onglet Autostart j'ai un bouton scan : le scan s'est fait en 5 s, voici le résultat, je ne sais pas si c'était la bonne manip...

 

GMER 1.0.13.12551 - http://www.gmer.net

Autostart scan 2007-11-23 21:59:40

Windows 5.1.2600 Service Pack 2

 

 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

 

HKLM\SYSTEM\CurrentControlSet\Services\ >>>

AntiVirScheduler /*AntiVir PersonalEdition Classic Scheduler*/@ = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"

AntiVirService /*AntiVir PersonalEdition Classic Guard*/@ = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"

Apple Mobile Device /*Apple Mobile Device*/@ = "C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"

McAfeeFramework /*Service Framework McAfee*/@ = "C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart

McShield /*Network Associates McShield*/@ = "C:\Program Files\Network Associates\VirusScan\Mcshield.exe"

McTaskManager /*Network Associates Task Manager*/@ = "C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe"

MSI_WLAN_Service /*MSI_WLAN_Service*/@ = "C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe"

NVSvc /*NVIDIA Driver Helper Service*/@ = %SystemRoot%\System32\nvsvc32.exe

ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys

Spooler /*Spouleur d'impression*/@ = %SystemRoot%\system32\spoolsv.exe

vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZONELABS\vsmon.exe -service

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>

@PCTVOICEpctspk.exe = pctspk.exe

@SynTPLprC:\Program Files\Synaptics\SynTP\SynTPLpr.exe = C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

@SynTPEnhC:\Program Files\Synaptics\SynTP\SynTPEnh.exe = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

@ESBC:\WINDOWS\System32\ESB.exe = C:\WINDOWS\System32\ESB.exe

@NvCplDaemonRUNDLL32.EXE NvQTwk,NvCplDaemon initialize = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

@nwiznwiz.exe /installquiet = nwiz.exe /installquiet

@WINPROC AUDITC:\OEMCUST\TOOLS\WIN32\WINPROC.EXE C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE = C:\OEMCUST\TOOLS\WIN32\WINPROC.EXE C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

@RemoteControl"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" = "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

@TkBellExe"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

@SunJavaUpdateSched"C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" = "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

@ShStatEXE"C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE = "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

@McAfeeUpdaterUI"C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey = "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

@Network Associates Error Reporting Service"C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" = "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

@Zone Labs ClientC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe = C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

@WinampAgentC:\Program Files\Winamp\winampa.exe = C:\Program Files\Winamp\winampa.exe

@QuickTime Task"C:\Program Files\QuickTime\QTTask.exe" -atboottime = "C:\Program Files\QuickTime\QTTask.exe" -atboottime

@iTunesHelper"C:\Program Files\iTunes\iTunesHelper.exe" = "C:\Program Files\iTunes\iTunesHelper.exe"

@avgnt"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>

@MSMSGS"C:\Program Files\Messenger\msmsgs.exe" /background = "C:\Program Files\Messenger\msmsgs.exe" /background

@swgC:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe = C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@WPDShServiceObj = C:\WINDOWS\system32\WPDShServiceObj.dll

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>

@{1F2E5C40-9550-11CE-99D2-00AA006E086C} /*Page de sécurité NTFS*/rshx32_5.dll = rshx32_5.dll

@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Extension Affichage Panorama du Panneau de configuration*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/

@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Explorateur de Bureau*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll

@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll

@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =

@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll = C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll

@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll

@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll

@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll

@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL

@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Program Files\WinRAR\rarext.dll = C:\Program Files\WinRAR\rarext.dll

@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Program Files\Real\RealPlayer\rpshell.dll = C:\Program Files\Real\RealPlayer\rpshell.dll

@{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} /*PhoneBrowser*/(null) =

@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll

@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll

@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Program Files\iTunes\iTunesMiniPlayer.dll = C:\Program Files\iTunes\iTunesMiniPlayer.dll

@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Dossiers Web*/ = C:\PROGRA~1\FICHIE~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>

Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll

VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Program Files\Network Associates\VirusScan\shext.dll

WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>

VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Program Files\Network Associates\VirusScan\shext.dll

WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>

Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll

VirusScan@{cda2863e-2497-4c49-9b89-06840e070a87} = C:\Program Files\Network Associates\VirusScan\shext.dll

WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>

@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll = C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

@{87EFE72E-ED21-48B1-B465-4DEA4ABA77E0}c:\windows\system32\ckbackb.dll = c:\windows\system32\ckbackb.dll

@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\program files\google\googletoolbar4.dll = c:\program files\google\googletoolbar4.dll

@{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll = C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

 

HKLM\Software\Microsoft\Internet Explorer\Main >>>

@Default_Page_URLwww.packardbell.fr/center = www.packardbell.fr/center

@Start Pageabout:blank = about:blank

@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

 

HKCU\Software\Microsoft\Internet Explorer\Main >>>

@Start Pagehttp://www.google.com = http://www.google.com

@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

 

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>

dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll

its@CLSID = C:\WINDOWS\System32\itss.dll

lid@CLSID = C:\WINDOWS\System32\msvidctl.dll

mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll

ms-its@CLSID = C:\WINDOWS\System32\itss.dll

mso-offdap@CLSID = {3D9F03FA-7A94-11D3-BE81-0050048385D1} /*file not found*/

tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

 

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\System32\wiascr.dll

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage >>>

Microsoft Office.lnk = Microsoft Office.lnk

WlanUtility.lnk = WlanUtility.lnk

MS_update_0610_KB72306.exe = MS_update_0610_KB72306.exe

 

---- EOF - GMER 1.0.13 ----

[Thanos]

C'est pas le bon rapport désolé Est ce que tu peux réessayer ? comme ceci >

 

Lorsque tu double-cliques sur le fichier Gmer.exe, tu dois voir en bas à droite de la page qui s'affiche, un bouton Scan > un scan doit se lancer > lorsque le scan est terminé, clique sur "copy" > poste le rapport.

Ne fais pas attention aux autres options dans les onglets.

[karo02]

C'est bon j'ai trouvé (un simple pb de dimensionnement de la fenêtre en mode sans échec), désolée je suis pas super douée...

Le scan est en cours.

[Thanos]

Oui c'est vrai qu'en mode sans échec, il y a souvent un problème d'affichage et il faut donc redimensionner la fenêtre : bien vu

 

Edit: karo02 , je pars bosser à présent!! poste le rapport stp et je te répondrais...cette nuit lol! (pendant la pause!)

 

@ + tard et dis moi si le scan t'a posé problème

Modifié le 23 novembre 2007 par charles ingals

[karo02]

Bon désolée je n'y arrive pas, le scan s'est terminé (enfin, les lignes ont arrêté de défiler en bas de la fenêtre donc je suppose que c'est fini)... mais je ne vois pas de bouton copie, même en essayant de redimensionner la fenêtre dans tous les sens : je ne peux pas la rendre plus haute que la taille de l'écran, il n'y a pas de barre de défilement vertical sur la droite, j'imagine que le bouton copie est en dessous du bouton scan mais je n'arrive pas à y accéder...

Y'a une astuce pour redimensionner cette fenêtre ? Le rapport n'est pas quelque part sur le disque ?