[RESOLU] Message "Erreur irréparable Windows" !

[bleuet]

Bonsoir,

 

Je vous donne d'abord le lien de mon sujet de départ >>

 

http://forum.zebulon.fr/message-erreur-irr...ml#entry1462346

 

Le rapport HijackThis montre le PC de Capucine bien vérolé. De plus avec AVAST.

Ci-après le rapport Hijackthis >>

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:06:19, on 05/02/2010

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\capucine\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [Windows Data Serivce] bf.exe

O4 - HKLM\..\Run: [servises] C:\WINDOWS\System32\servises.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Windows System Info Serivce] dhvp.exe

O4 - HKLM\..\Run: [zbSgflS.exe] C:\WINDOWS\zbSgflS.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [servises] C:\WINDOWS\System32\servises.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe

O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hpoddt01.exe.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1203030210466

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: IWindows Server IP Verification Service (IWSIVS) - Unknown owner - C:\WINDOWS\system32\iwsivs.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 3761 bytes

 

En vous remerciant de vous occuper de ce malade.

 

@+

Modifié le 2 mars 2010 par bleuet

[Thanos]

salut

 

Effectivement...pc bien vérolé + Windows pas du tout à jour!! Les mises à jour seront à faire une fois le pc nettoyé et pas avant car les risques de plantages sont réels sur machine infectée.

Il va falloir sécuriser le pc plus correctement car il est une cible de choix en l'état actuel.

 

Pour commencer, un conseil >> ne connecte ce pc à internet que pour effectuer le nettoyage. Ne surfe pas avec, et ne l'utilise pas pour faire des transactions bancaires surtout (on ne sait pas encore ce qu'il cache!).

 

Enfin sauvegarde les données qui ont de l'importance pour toi car tu n'est pas à l'abri d'un gros plantage (mieux vaut prévenir !).

 

1°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[bleuet]

Salut Thanos et merci,

 

Je DL les 2 logiciels avec un autre PC et je te mettrai les rapports.

 

De toute façon, le bureau n'est accessible normalement qu'en mode sans échec, dont pas de connexion Internet.

 

edit : C'est bon en configuration réseau, l'accès au net est OK.

 

Je sauvegarde les données car ce PC m'a été confié.

 

@+

Modifié le 6 février 2010 par bleuet

[Thanos]

salut

 

Oui, sauvegarde les données surtout car on ne sait jamais

 

@ toute

[bleuet]

Salut,

 

1/. Le rapport MBAM ci-joint. Bien désinfecté. L'accès est maintenant normal.

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3697

Windows 5.1.2600 Service Pack 1 (Safe Mode)

Internet Explorer 6.0.2800.1106

 

06/02/2010 10:59:54

mbam-log-2010-02-06 (10-59-54).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 129437

Temps écoulé: 11 minute(s), 22 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 7

Valeur(s) du Registre infectée(s): 9

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 16

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\msile (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\msile (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\WM System Decode Application (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IWSIVS (Backdoor.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\application layer gateway service (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zbsgfls.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows data serivce (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows system info serivce (Backdoor.IRCBot) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms (Hijack.Rdpclip) -> Bad: (rdpclipC:\WINDOWS\system32\iwsivs.exe) Good: (rdpclip) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\algs.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\jyonup.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\oylo.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\mihsd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\dn.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\cbkfv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\untolnld.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\urhcks.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dn.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\b8im6q3vq.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\4DW4R3WdmettmkKM.dll (Spyware.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\4DW4R3ofEYkCCCVQ.dll (Spyware.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\capucine\Local Settings\Temp\he2z8u.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\zbSgflS.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\logfile32.txt (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\capucine\nigzss.txt (Malware.Trace) -> Quarantined and deleted successfully.

 

 

2/. Pour RSIT, impossible de le faire fonctionner : écran bleu avec message d'erreur.

3/. Un rapport Hijackthis sortie ensuite.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:26:01, on 06/02/2010

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Documents and Settings\capucine\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hpoddt01.exe.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1203030210466

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 4004 bytes

 

 

Il faut mettre à jour IE, virer AVAST et sécuriser ce PC qui était une vraie passoire !!!!!

 

 

@+ pour tes instructions, Thanos

[Thanos]

Ok MBAM a déjà bien bossé

On va faire un autre scan si RSIT plante.

 

Etant donné que tu comptais certainement le faire bleuet, je conseille au possesseur du pc d'opter pour Antivir en lieu et place d'Avast! Avant de faire le scan DDS, désinstalle Antivir et fais un scan >>

 

-Télécharge Antivir sur le bureau, mais ne le lance pas encore!

 

- Désinstalle Avast et redémarre le pc.

 

- Installe Antivir.

 

- Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique

(les réglages sont identiques même si la version décrite est en anglais).

 

 

Fais un scan du pc avec Antivir comme ceci >>

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller.

 

Télécharge DDS de sUBs depuis un de ces liens. Sauvegarde le sur ton Bureau >>

• DDS.com
  
• DDS.scr
  
• DDS.pif
   
  
• Double clique sur l'icône de DDS pour lancer le programme..
  
• Le résultat va s'afficher dans deux fichiers au format texte.
  
• Poste les rapports DDS.txt ainsi que Attach.txt
  

NOTE:

Ne lance aucun autre scan (antivirus) en même temps.

N'utilise pas le pc pour autre chose pendant ce scan.

 

Comme tu dis, il y a du boulot de sécurisation après ca..

[bleuet]

Re,

 

Bien installé Antivir en version 9.

Mais l'analyse intégrale bloque à 2,7 %. >> 15 minutes, et impossible d'aller + loin malgré plusieurs tentatives.

Il me semble aussi que FF ouvre des pages non demandées.

Présence de Sunbelt Free en PF ( le PC est monté avec une FreeBox). De plus toujours en SP 1 ! et le centre de sécurité est absent du "panneau de configuration".

 

J'ai l'impression que ce n'est pas gagné !

 

@+

Modifié le 6 février 2010 par bleuet

[Thanos]

ok: sais tu sur quel fichier/dossier bloque l'analyse ? on va lancer un autre scan (rapide celui ci) pour vérifier la présence d'un rootkit >>

 

Désactive temporairement Antivir le temps du scan.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• IAT/EAT
  
• Devices
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[bleuet]

Re,

 

Hélas, le log. se met en erreur et fermeture. Mais :

Il y a bien 1 rootkit :

 

RootKit 4dw4r3

 

à C:\Windows\system32\drivers\4DW4R3vEYrkQTPpl.sys (hidden***)

 

avec value : [sYSTEM]4DW4R3

 

et des entrées à HKLM\SYSTEM\ControlSet\Services001 et 002

HKLM\SYSTEM\CurrentControlSet\Services

 

Au total une bonne trentaine d'entrées > puis message d'erreur du logiciel.

 

@+

Modifié le 13 février 2010 par bleuet

[bleuet]

Re,

 

MBAM trouve de nouvelles infections mais se met en erreur (avec GMER et explorer.exe aussi).

Et en MSE plantages écrans bleus.

Bonjour le b***** !

 

 

Modifié le 6 février 2010 par bleuet