Plantage sous XP

[mrtatou]

Voila un ami me confi son pc qui d'apres lui est lent.

Je fais un scan avec MBAM, ad-R, Rogue killer, puis avec Kaspersky.

Là je rencontre un soucis. Lorsque car kaspersky m'alerte et me dit avoir trouvé "HEUR:Trojan.Win32.Generic" il me propose de le supprimer ou de le mettre en quarantaine, et peu importe le choix: 10 secondes apres avoir cliqué j'ai un ecran bleu! En gros le pc plante totalement et se suis obligé de frocer l'arret.

Que faire?

[bernard53]

Bonsoir

 

As tu l'adresse de détection faite par Kaspersky

 

Fait ceci en plus s.t.p

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

sptd.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

[mrtatou]

Merci à toi!

Voila le log OTL : LOG OTL

[mrtatou]

Et voici le second, le extra : log extra

[bernard53]

ok ceci dans cet ordre s.t.p

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Les Téléchargements - Outils de Xplode - AdwCleaner

 

Lance le, clique sur [suppression] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

Puis::

 

Télécharge Navilog1 :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

 

Fais un clic-droit sur le Navilog1.exe présent sur ton bureau et choisis :

"Exécuter en tant qu'administrateur". C'est impératif : "Pour Vista et Seven seulement"

 

Au menu principal, Fais le choix "1"

Laisse toi guider et patiente.

De nouveau choisis 1

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche le blocnote va s'ouvrir.

 

Copie-colle l'intégralité du rapport dans ta réponse.

Referme le blocnote.

Note : Il sera enregistré sous C:\cleannavi.txt

 

Ensuite:

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.

 

 

>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

 

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

 

Double-clique sur OTM pour le lancer.

 

Copie la liste qui se trouve en citation ci-dessous:

:Reg

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"bobpdqer"=-

:Files

c:\windows\system32\uninstall.exe

 

:Commands

[purity]

[emptytemp]

[Reboot]

 

et colle-la dans le cadre de gauche de OTM sous ceci:

 

 

Clique sur pour lancer la suppression.

attendre la fin du travail de l'outil puis fermer OTM

 

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

 

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Oui/Yes.

 

 

 

Télécharge Fileinfos ici :

 

http://sd-2.archive-host.com/membres/up/174761209440524377/FileInfos.exe

 

Lance-le puis rends-toi à cette adresse pour analyser ce fichier.

C:\WINDOWS\system32\sxmleoih.dll

 

 

Mets le rapport ensuite s.t.p

 

Ensuite nouveau rapport OTL s.t.p

Modifié le 25 novembre 2011 par bernard53

[mrtatou]

Merci,

L'ordinateur a planté pendant l'exécution de navilog1, en fait j'ai cet écran bleu , je dois donc forcer le redemarrage...

 

voici le log adwcleaner : Mon lien

[mrtatou]

Du coup je redemarre et j'ai lancé OTM, voici le log Mon lien

 

pour fileInfos, je vais cherche le chemin pui je fais "analyser" et là j'ai le message : The remote name could not be resolved: 'www.virustotal.com'

Puis un nouveau message apparait : " Unhandled exception has occured in your application....." , ca semble etre un bon message d'erreur...

[mrtatou]

voici le log otl log otl

[bernard53]

J'ai un gros doute sur le DLL donc essai ici.

 

 

Vas ici : VirusTotal - Free Online Virus, Malware and URL Scanner

Clique sur choisir un fichier et choisi ce fichier:

C:\WINDOWS\system32\sxmleoih.dll

Poste le rapport s.t.p

 

Si cela ne fonctionne pas alors ici.

Dr.Web ® online check

 

Ensuite ceci:

 

Téléchargeable depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe

Le télécharger et le lancer.

Répondre Yes (oui) à la question, en tapant sur Y puis Entrée

Si le fix trouve l’infection, des lignes. rouges doivent apparaître.

 

SI le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer.

Tapez Y (oui) et Entrée pour lancer le nettoyage.

 

Si l’opération a réussi, vous devez avoir le message Cleaned en vert.

Appuyez sur une touche et redémarrer l’ordinateur.

Ensuite:

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll File not found

CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM\..\Run: [] File not found

O4 - HKLM\..\Run: [WidgetInca] C:\Documents and Settings\ROBERT JACQUES\Mes documents\Widget Inca\Widget_Inca.exe File not found

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

[2011/11/22 14:16:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\ROBERT JACQUES\Application Data\widestream

[2011/11/22 14:16:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\ROBERT JACQUES\Mes documents\WideStream

[2011/11/22 14:16:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\widestream6 Air

[2011/11/22 14:15:39 | 000,000,000 | ---D | C] -- C:\Program Files\Widestream6

[2011/06/20 16:25:01 | 000,537,088 | ---- | C] (packs) -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\bobpdqer.exe

[2011/11/25 15:16:54 | 000,001,536 | ---- | M] () -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\bobpdqer_navps.dat

[2011/11/25 15:15:58 | 000,002,663 | ---- | M] () -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\bobpdqer.dat

[2011/11/24 19:29:37 | 000,001,536 | ---- | C] () -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\bobpdqer_navps.dat

[2011/11/24 19:29:36 | 000,002,663 | ---- | C] () -- C:\Documents and Settings\ROBERT JACQUES\Local Settings\Application Data\bobpdqer.dat

@Alternate Data Stream - 816 bytes -> C:\WINDOWS\1511585267:202041253.exe

:Files

C:\WINDOWS\1511585267

:Commands

[emptytemp]

[createrestorepoint]

[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

 

Puis::

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

[mrtatou]

voila le log VirusTotal - Free Online Virus, Malware and URL Scanner : Mon lien

 

pour izeroaccess j'ai effectivement des "error!" rouge pendant le scan mais à la fin du scan il me dit que mon systeme n'est pas infecté par ZeroAccess/Max++ Rootkit.

 

Pour otl, voila le log : Mon lien

 

Je lance un scan avec MBAM de suite