Crash continuel sur vista

[kighafars]

Bonjour,

 

Je vous appelle à l'aide suite à des problèmes continus sur vista.

 

J'étais sous Kaspersky , au moment de la fin de la clé d'activation j'ai voulu changer d'antivirus car trop cher pour moi pour le moment . Et un malware est apparu à ce moment là , malware qui je crois est toujours resté sur mon ordi suite à une attaque de trojan l'an dernier.

 

J'ai essayé d'analyser le hijack mais que nenni . Le malware semble bloquer l'explorateur windows ainsi que windows installer. Aucune connexion internet possible sauf les pages du marque pages ( ou j'avais conservé la page du forum zébulon ).

J'ai essayé d'installer Bit Defender d'un ami mais rien ne se passe . J'ai réussi à installer A-squared mais quand je scan => crash au bout de quelques minutes . Incapable d'utiliser les scanners online meme sur le site zébulon rien ne se passe.

Suis obligé de me mettre en mode sans échec sinon crash (écran bleu) au bout de quelques minutes !!

 

Merci d'avance pour le temps et la peine passé pour trainer des boulets comme moi.

 

J'attends les ordres !

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:33:45, on 02/10/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Boot mode: Safe mode with network support

 

Running processes:

C:\Windows\Explorer.EXE

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: QXK Olive - {75CFDBEA-56E3-4065-B218-4A11FE8C46DB} - C:\Windows\dfmlxbpkeqv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: nqgpedlr - {DFD3C411-B6E4-49E6-A4D9-88F45FE2556D} - C:\Windows\nqgpedlr.dll (file missing)

O3 - Toolbar: nqgpedlr - {B0DBF6AE-D8A1-47E3-9E8A-EE9D41D9BE1C} - C:\Windows\nqgpedlr.dll (file missing)

O3 - Toolbar: peltodgx - {5D3BF66A-D62D-4D77-A209-8C8317054B1A} - C:\Windows\peltodgx.dll

O3 - Toolbar: peltodgx - {CA5DF1DA-5181-4190-B40B-E3FD8FB1EAED} - C:\Windows\peltodgx.dll

O3 - Toolbar: peltodgx - {BAB8F6DC-41B1-440F-A066-AAC224906880} - C:\Windows\peltodgx.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [\YUR4690.exe] C:\Windows\system32\YUR4690.exe

O4 - HKLM\..\Run: [\YUR4816.exe] C:\Windows\system32\YUR4816.exe

O4 - HKLM\..\Run: [\YUR4C2C.exe] C:\Windows\system32\YUR4C2C.exe

O4 - HKLM\..\Run: [\YUR5224.exe] C:\Windows\system32\YUR5224.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [\YUR4690.exe] C:\Windows\system32\YUR4690.exe

O4 - HKCU\..\Run: [\YUR4816.exe] C:\Windows\system32\YUR4816.exe

O4 - HKCU\..\Run: [\YUR4C2C.exe] C:\Windows\system32\YUR4C2C.exe

O4 - HKCU\..\Run: [\YUR5224.exe] C:\Windows\system32\YUR5224.exe

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLLeNetHook.dlleNetHook.dll C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dlleNetHook.dll eNetHook.dll

O21 - SSODL: hlpdb - {4DB87F97-8DCA-63E9-68C5-073AB5769493} - C:\Program Files\rgtqrtb\hlpdb.dll

O21 - SSODL: rwlfsdmk - {CEFAEE3C-76C9-45EB-B15B-6F6208C11631} - C:\Windows\rwlfsdmk.dll

O21 - SSODL: onfwbsak - {528C194F-3EC6-4245-BE8F-447FAEAC3243} - C:\Windows\onfwbsak.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IntelinetSecure - Unknown owner - C:\Program Files\Intelinet\intelin2.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

 

--

End of file - 9295 bytes

[Thanos]

salut

 

Le pc est effectivement bien infecté...! nous allons tenter de le nettoyer de cette manière >>

 

1°) Avant de commencer, on va désactiver l'UAC le temps des différents scans.Une fois la désinfection terminée, tu pourras le remettre en route. Pour désactiver l'UAC, suis les indications données dans ce sujet >>

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

 

2°) Télécharge ComboFix

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

Poste le rapport obtenu stp.

[kighafars]

Incapable d'ouvrir le panneau de configuration => explorateur windows cessent de fonctionner au bout de quelques secondes.

 

Quand à combofix , bien sur il ne m'autorise pas à accéder à la page comme il l'a fait pour tous les sites de scan online que j'ai essayé. Site de bleepingcomputers comme de sUBs . J'ai quand même réussi à choper un fichier .rar de combo mais le .exe démarre et s'arrête au bout de quelques secondes . Un autre moen pour atteindre le panneau de config ?

[Thanos]

salut

 

Le fichier Hosts a été modifié de manière à ce que tu ne puisse accéder à certains site.

Nous allons procéder autrement: je vais faire héberger le fichier temporairement sur un site puis je vais te donner l'adresse par MP. De cette manière tu pourras télécharger ComboFix sans souci.

 

Oublie la manipulation avec l'UAC: il y a de fortes chances qu'il soit déjà désactivé!

 

Jette un oeil à tes messages: je t'expédie l'adresse de téléchargement maintenant. Note: j'ai modifié intentionnellement son nom car certains malwares suppriment nos outils!

Poste le rapport généré stp

Modifié le 2 octobre 2008 par Thanos

[kighafars]

Salut,

 

j'ai suivi ta procédure , combofix lancé =>ouverture de la fenetre et avant le scan , combo m'indique un problème de rootkit et me demande de redémarrer l'ordi . Malheur , maintenant windows bloque et ne veut plus se lancer . je peux utiliser le startup repair mais il ne peut pas réparer , par contre à travers ça je peux ouvrir une fenetre DOS et avoir accès x:\Windows\system32> en utilisant l'uac (donc encore en fonction) , je peut donc avoir accès au dll et .exe . Je t'avoue que depuis le zx81 mon DOS est un peu rouillé (lol) .

 

J'attends ta réponse avec impatience mais sans trop d'illusions quand à l'avenir de cette histoire . Si je reformate tout , je perds toutes les données de mon boulot .

 

A+

[Thanos]

aie....!

Dis moi: est ce que tu accèdes encore aux options de démarrage de Windows ?

Essaie de redémarrer le PC en mode sans échec (je ne parle pas du mode sans échec avec prise en charge du réseau!) .

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  
• Choisis ton compte usuel, et non Administrateur.
  
• >> En images ici<<
  

Dis moi si tu y parviens stp.

je peux ouvrir une fenetre DOS et avoir accès x:\Windows\system32> en utilisant l'uac (donc encore en fonction) , je peut donc avoir accès au dll et .exe

Tu parles de l'invite de commandes en mode sans échec ??

Si je reformate tout , je perds toutes les données de mon boulot .

Il y a toujours moyen de récupérer les données via un live cd par ex.

Modifié le 4 octobre 2008 par Thanos

[kighafars]

je vais essayer le F8/F5

 

La fenetre DOS est bien une fenetre COMMAND PROMPT

[Thanos]

ok: dis moi si les options de démarrage fonctionnent et surtout si tu peux avoir accès au mode sans échec.

Je te lirai plus tard (je pars bosser)

[kighafars]

mode sans echec : démarrage du mode puis arret lors des chargements des .sys , il s'arrete toujours après crcdisk.sys quelque soit le mode (sans echec ou sans echec avec réseau) .

Je dispose d'1 ordi pour la journée mais je dois le rendre demain ,c'est pour ça que je peux encore communiquer avec toi.

 

Bon courage pour le boulot

A+

[Thanos]

re!

 

désolé pour l'attente, je viens de quitter le boulot il y a peu !!

 

Je reviens là dessus >>

je peux utiliser le startup repair mais il ne peut pas réparer

Plutôt que de tenter une réparation via Startup Repair, as tu tenté une restauration de Windows ?

Tu tapes F8 au demarrage => reparation du système => restauration du système à un point antérieur.