Plantages réguliers

pear · le 1 mars 2009

Ce n'est pas ce que je vous demande dans mon précédent message.

fff57 · le 1 mars 2009

J'ai renommé avant avant le téléchargement.

Le logiciel ne s'installe pas entièrement, ca se plante à un moment donné même en mode sans échec.

J'ai essayé de le désinstaller pour refaire une tentative mais ca se plante également lors de la désinstallarion.

pear · le 1 mars 2009

Tentez ceci:

Renommer ComboFix

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

tapez par exemple votrenom.exe

Cliquez enfin sur -> Enregistrer

Sur le bureau

Lancez Combofix en double cliquant sur votrenom.exe

En cas de problème, :

méthode illustrée

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[/color]

fff57 · le 2 mars 2009

Apparemment cela a fonctionné, tout se déroule normalement.

Merci beaucoup.

ComboFix 09-03-01.01 - F 2009-03-02 12:31:06.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.205 [GMT 1:00]

Lancé depuis: c:\load-cf\2666\2666.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\F\Menu Démarrer\Programmes\InternetGameBox

c:\documents and settings\F\Menu Démarrer\Programmes\InternetGameBox\InternetGameBox.lnk

c:\documents and settings\F\Menu Démarrer\Programmes\InternetGameBox\Uninstall.lnk

c:\documents and settings\F\Menu Démarrer\Programmes\InternetGameBox\Website.lnk

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\TDSSciou.log

c:\windows\system32\TDSSpqxt.dat

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-02 au 2009-03-02 ))))))))))))))))))))))))))))))))))))

.

2009-03-02 12:27 . 2009-03-02 12:27 <REP> d-------- C:\Load-CF

2009-03-01 22:07 . 2009-03-01 22:07 <REP> d-------- c:\documents and settings\F\Application Data\Malwarebytes

2009-03-01 19:11 . 2009-03-01 22:07 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-01 19:11 . 2009-03-01 19:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-01 19:11 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-01 19:11 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-01 17:09 . 2009-03-01 17:10 <REP> d-------- c:\documents and settings\F\SmitfraudFix

2009-03-01 15:51 . 2009-03-01 17:26 <REP> d-------- C:\ToolBar SD

2009-03-01 14:54 . 2009-03-01 17:41 <REP> d-------- c:\program files\Registrar Registry Manager

2009-03-01 14:54 . 2009-01-20 12:52 31,928 --a------ c:\windows\system32\rrMon.sys

2009-03-01 14:47 . 2009-03-01 17:41 <REP> d-------- c:\program files\Optimisation Windows

2009-02-24 22:29 . 2009-02-24 23:08 <REP> d-------- c:\windows\BDOSCAN8

2009-02-22 23:36 . 2006-03-17 18:30 <REP> d-------- c:\documents and settings\Administrateur\WINDOWS

2009-02-22 23:36 . 2004-08-16 17:55 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-02-22 23:36 . 2004-08-16 17:55 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-02-22 23:36 . 2004-08-16 17:55 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-02-22 23:36 . 2004-08-16 18:19 <REP> dr------- c:\documents and settings\Administrateur\Mes documents

2009-02-22 23:36 . 2004-08-16 17:55 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-02-22 23:36 . 2004-08-16 18:19 <REP> dr------- c:\documents and settings\Administrateur\Favoris

2009-02-22 23:36 . 2004-08-16 17:55 <REP> dr------- c:\documents and settings\Administrateur\Bureau

2009-02-22 23:36 . 2009-02-22 23:36 <REP> d-------- c:\documents and settings\Administrateur

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-02 11:38 --------- d-----w c:\documents and settings\F\Application Data\OpenOffice.org2

2009-03-01 18:38 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-01 16:42 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-01 13:49 74,752 ----a-w c:\windows\ST6UNST.EXE

2009-03-01 13:49 458,752 ------w c:\windows\Setup1.exe

2009-03-01 11:35 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic

2009-03-01 10:48 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-24 21:14 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-02-15 15:10 --------- d-----w c:\program files\Fichiers communs\Apple

2009-02-15 15:09 --------- d-----w c:\program files\Apple Software Update

2009-02-15 09:20 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-01 11:21 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-01-29 10:47 --------- d-----w c:\program files\Clear History

2006-09-18 20:49 4,642,748 ----a-w c:\program files\eMule-NG-0[1].47a-Installer.zip

2008-05-23 21:56 88 --sh--r c:\windows\system32\D800EB9C52.sys

2008-05-23 21:56 2,516 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-09-06 17:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090620080907\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-07-12 81920]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 32881]

"SpeedTouch USB Diagnostics"="c:\program files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 861184]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-21 180269]

"vspdfprsrv.exe"="c:\program files\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]

"JeticoPFStartup"="c:\program files\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 118784]

"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]

"nwiz"="nwiz.exe" [2004-07-12 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\J\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\documents and settings\F\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ZMBV"= zmbv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\AOL 9.0\\waol.exe"=

"c:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-03-17 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-03-17 45376]

S3 alcan5ln;Alcatel SpeedTouch™ USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [2006-03-17 36048]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3ec311e-a2f9-11db-bb6a-0090d08df06f}]

\Shell\AutoRun\command - J:\LaunchU3.exe

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

.

------- Examen supplémentaire -------

.

mWindow Title =

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} - hxxp://mm.tf1.fr/superdistribution/installer2.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\F\Application Data\Mozilla\Firefox\Profiles\adh1y4s8.default\

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJPI142_05.dll

FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPOJI610.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-02 12:38:16

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\AntiVir PersonalEdition Classic\sched.exe

c:\program files\AntiVir PersonalEdition Classic\avguard.exe

c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\program files\Fichiers communs\Protexis\License Service\PSIService.exe

c:\windows\system32\rundll32.exe

c:\program files\OpenOffice.org 2.3\program\soffice.exe

c:\program files\OpenOffice.org 2.3\program\soffice.bin

.

**************************************************************************

.

Heure de fin: 2009-03-02 12:42:36 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-03-02 11:42:18

Avant-CF: 123 036 971 008 octets libres

Après-CF: 123,468,230,656 octets libres

178 --- E O F --- 2009-02-28 07:31:25

pear · le 2 mars 2009

Très bien.

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\windows\system32\D800EB9C52.sys

Driver::

D800EB9C52.sys

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

fff57 · le 2 mars 2009

Voici le dernier rapport Combafix.

Par contre, je n'arrive pas à faire Kasperski en ligne. J'ai utilisé expolrer, j'ai vidé la corbeille, j'ai désactivé l'antivirus mais "I accept" reste grisé et inutilisable.

De plus explorer se plantait chaque fois que je voulais répondre, j'ai du utiliser mozilla.

ComboFix 09-03-01.01 - F 2009-03-02 17:47:31.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.217 [GMT 1:00]

Lancé depuis: c:\load-cf\32192\32192.exe

Commutateurs utilisés :: c:\documents and settings\F\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)

* Un nouveau point de restauration a été créé

FILE ::

c:\windows\system32\D800EB9C52.sys

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\D800EB9C52.sys

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-02 au 2009-03-02 ))))))))))))))))))))))))))))))))))))

.

2009-03-02 17:44 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2009-03-02 12:27 . 2009-03-02 17:45 <REP> d-------- C:\Load-CF