Ordi infecté, suite ...

[lorette]

Bonjour, je recommence un sujet que Tonton et Thorgal ont déjà en partie traité, et demandé de le mettre par içi !

voilà le lien : http://forum.zebulon.fr/findpost-t182736-p1534194.html

Merci pour votre aide !

[jeanmimigab]

hello,

 

Fais cela stp...

 

• Télécharge >> TFC.exe << impérativement sur ton bureau
  
• Ferme tous les programmes en cour de fonctionnement...
  
• Fais un double-clic sur l'icône de TFC pour le lancer
  
• Une demande va apparaitre pour te demander de redémarrer ton pc, cliques sur "YES" et laisse faire TFC.

 

Ensuite...

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

 

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

 

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

 

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

 

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

 

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).

* Copie et colle les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[lorette]

Bonjour Jeanmimigab ,

l'ordinateur m'a lâcher pendant l'analyse .... après redémarrage, il ya quelques nouvelles icônes, transparentes ("Folder.jpg", "AlbumArtSmal", "desktop.ini").

Je réessaie ...

[jeanmimigab]

hello,

 

il n'y a aucune raison que cela lâche, OTL ne supprime/modifie rien durant l'analyse,

Ton système a l'air relativement instable, par prudence penses a sauvegarder tous tes documents importants.

 

Si le scanne passe mal, essais en mode sans échec

 

@++

[lorette]

Voilà, au deuxième essai, pareil, l'ordi lâche ...

Je n'y connait rien, mais quand je regarde dans les performances du gestionnaire des tâches, la mémoire libre est de 6, voir 7 alors que je ne fais rien ... cela m'a toujours paru trés peu, et j'ai pensé que l'ordi n'avait pas assez de mémoire (vive ?) pour fonctionner ... c'est là que j'ai supprimer plein de trucs que mon fils avait enregistré, et finalement vidé Data ... un peu à l'arrache, j'avoue ... mais rien n'y a fait, et celà empire de jours en jours ...

J'ai l'impression que chaque mise à jour de Windows Defender, ou Avira rempli encore un peu plus le Disque C qui est déjà bien plein, et je ne sais pas comment équilbrer C et D.

Sinon, , comment je fais pour passer en mode sans échec ?

Merci à toi

[jeanmimigab]

hello,

 

J'ai lu le premier topic que tu as posté, le bruit dont tu parle est inquiétant.

 

Pour passer en mode sans échec, tu démarre le pc et dès que la première page du bios s'affiche, tu tapotes la touche F8 (c'est celle ci dans 99% des cas)

ensuite tu arrive à la fenêtre qui te propose plusieurs types de démarrage et tu choisis "mode sans échec"

 

pense à sauvegarder avant le citation a coller dans OTL (par exemple tu la copie dans un fichier texte ) car tu n'auras pas accès au web en mode sans échec.

 

Si jamais cela ne va toujours pas....fais cela...

 

Télécharge >>> AD-Remover <<< ( de C_XX ) sur ton bureau.

 

- Double-clique sur le fichier AD-R.exe pour lancer le tool.

 

- Pour Vista /Seven faire un cliques droit sur l'icône et choisir "Exécuter en tant qu'administrateur"

 

- Cliques sur "Nettoyer".

 

- Ensuite laisse le scan s'effectuer tranquillement sans te servir du PC

 

- Poste le rapport.txt qui s'ouvre.

 

au cas ou,le rapport est sauvegarder ici

C:\AD-Report-scan+"date"

 

Si jamais tu dois relancer AD-R.exe tu devras te servir du raccourci créer durant son installation

[lorette]

Voili voilà ... F8 ne répond pas ... il n'y a que F2 qui lance la machine ...

Donc voici le rapport AD-R.exe :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 29/01/11 à 16:00

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:53:39 le 05/02/2011, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Basique (X86)

Méthylène@PC-DE-UTILISATE ( )

 

============== ACTION(S) ==============

 

 

Fichier supprimé: C:\Windows\system32\f3PSSavr.scr

Fichier supprimé: C:\Users\Jean-Claude\AppData\Roaming\Mozilla\FireFox\Profiles\urzjhfe3.default\searchplugins\mywebsearch.xml

Dossier supprimé: C:\Users\Méthylène\AppData\Roaming\DesktopIcon

Dossier supprimé: C:\Users\Méthylène\AppData\LocalLow\Fun Web Products

Dossier supprimé: C:\Users\Méthylène\AppData\LocalLow\FunWebProducts

Dossier supprimé: C:\Users\Méthylène\AppData\LocalLow\MyWebSearch

Dossier supprimé: C:\ProgramData\Trymedia

Dossier supprimé: C:\Users\Méthylène\AppData\Roaming\EoRezo

Dossier supprimé: C:\Users\Jean-Claude\AppData\Roaming\EoRezo

Dossier supprimé: C:\Users\Méthylène\AppData\Roaming\ItsLabel

Fichier supprimé: C:\Program Files\Windows Live\Messenger\Riched20.dll

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Users\Jean-Claude\AppData\Roaming\Mozilla\FireFox\Profiles\urzjhfe3.default\Prefs.js --

Ligne supprimée: user_pref("browser.search.selectedEngine", "MyWebSearch");

Ligne supprimée: user_pref("extensions.enabledItems", "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0...

Ligne supprimée: user_pref("extensions.mywebsearch.openSearchURL", "hxxp://search.mywebsearch.com/mywebsearch/opensea...

Ligne supprimée: user_pref("extensions.mywebsearch.prevKwdEnabled", true);

Ligne supprimée: user_pref("extensions.mywebsearch.prevKwdURL", "chrome://browser-region/locale/region.properties");

Ligne supprimée: user_pref("keyword.URL", "hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=eCYUB2x...

-- Fichier Fermé --

 

 

Clé supprimée: HKLM\Software\Classes\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}

Clé supprimée: HKLM\Software\Classes\Interface\{120927BF-1700-43BC-810F-FAB92549B390}

Clé supprimée: HKLM\Software\Classes\Interface\{1F52A5FA-A705-4415-B975-88503B291728}

Clé supprimée: HKLM\Software\Classes\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}

Clé supprimée: HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}

Clé supprimée: HKLM\Software\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}

Clé supprimée: HKLM\Software\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}

Clé supprimée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}

Clé supprimée: HKLM\Software\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}

Clé supprimée: HKLM\Software\Classes\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}

Clé supprimée: HKLM\Software\Classes\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}

Clé supprimée: HKLM\Software\Classes\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}

Clé supprimée: HKLM\Software\Classes\Interface\{991AAC62-B100-47CE-8B75-253965244F69}

Clé supprimée: HKLM\Software\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}

Clé supprimée: HKLM\Software\Classes\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}

Clé supprimée: HKLM\Software\Classes\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}

Clé supprimée: HKLM\Software\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}

Clé supprimée: HKLM\Software\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}

Clé supprimée: HKLM\Software\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}

Clé supprimée: HKLM\Software\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}

Clé supprimée: HKLM\Software\Classes\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}

Clé supprimée: HKLM\Software\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}

Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL

Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}

Clé supprimée: HKLM\Software\ItsLabel

Clé supprimée: HKLM\Software\Trymedia Systems

Clé supprimée: HKCU\Software\ItsLabel

Clé supprimée: HKCU\Software\FunWebProducts

Clé supprimée: HKCU\Software\GamesBar

Clé supprimée: HKCU\Software\AppDataLow\Software\FocusInteractive

Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products

Clé supprimée: HKCU\Software\AppDataLow\Software\FunWebProducts

Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch

Clé supprimée: HKU\.DEFAULT\Software\EoRezo

Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

Clé supprimée: HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin

 

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|m3ffxtbr@mywebsearch.com

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [impossible d'obtenir la version] **

 

-- C:\Users\Jean-Claude\AppData\Roaming\Mozilla\FireFox\Profiles\urzjhfe3.default\Prefs.js --

browser.download.dir, C:\\Users\\Jean-Claude\\Downloads

browser.download.lastDir, C:\\Users\\Jean-Claude\\Desktop

browser.startup.homepage_override.mstone, rv:1.9.1.7

 

========================================

 

** Internet Explorer Version [8.0.6001.18904] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\System32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 100 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 05/02/2011 (7093 Octet(s))

 

Fin à: 13:55:02, 05/02/2011

 

============== E.O.F ==============

[jeanmimigab]

hello,

 

Fais cela maintenant stp...

 

Télécharge TDSSKiller (Kapersky Lab) sur ton bureau en allant sur cette page web

Comment combattre les programmes malveillants de la famille Rootkit.Win32.TDSS?

Dezzipe le et fais un double-clic dessus pour l'exécuter et si une détection apparait après le scanne,suis les instructions et autorise le redémarrage du pc

Poste le rapport "C:\TDSSKiller_Quarantine\date_heure"

 

ensuite ré-essaie de faire le scan OTL pour voir si cela passe cette fois ci...

Modifié le 5 février 2011 par jeanmimigab

[lorette]

Bonsoir

 

TDSSkiller n'a détecté aucun virus, et j'ai enfin trouvé le mode sans échec ... et l'ordinateur m'a quand même lâché pendant l'analyse par OTLH, et là je ne suis pas sûre d'arriver au bout de ce mesage, je désespère un peu ... Mais bon, il est tard, demain c'est dimanche, je peux patienter ... pour attendre d'autres suggestions ...

Merci !

[lorette]

"Changer la pile de la carte mère " !!! je viens de lire ça sur le forum ! Ce serait peut-être une bonne idée ? ( je ne savais même pas qu'il y avait une pile ....)