Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté

dayzen

Par dayzen
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H- PanelHelper.jpg

 

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] => Infection BT (Adware.Hotbar)

 

PROCESSUS SUPERFLU DU SYSTEME

O4 - Global Startup: C:\Users\Dayshen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk - Clé orpheline => Orphean Key not necessary

[MD5.00000000000000000000000000000000] [APT] [{FC674654-3656-425C-8102-7D2DF163B4FC}] (...) -- C:\Users\Dayshen\Downloads\FileZilla.exe (.not file.) => Fichier absent

O43 - CFD: 29/01/2012 - 13:44:48 - [0,003] ----D- C:\ProgramData\regid.1986-12.com.adobe

O44 - LFC:[MD5.73B0CE289F75A103DFA3F5CDC9513970] - 19/02/2012 - 13:37:24 ---A- . (...) -- C:\setup.log [90] => Fichier de rapport

O44 - LFC:[MD5.349803750B4B137A0F9C1711BC7D3E39] - 28/01/2012 - 12:39:31 ---A- . (...) -- C:\RHDSetup.log [2027] => Fichier de rapport

 

TOOLBAR INUTILE (Navigateur internet)

[MD5.197215658B8015182192E1EBCA3BBCC3] [sPRF][28/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Dayshen\AppData\Local\Temp\AskSLib.dll [246440]

EmptyFlash

EmptyTemp

FirewallRaz

110926125340285987.jpg

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

 

 

Pour les divers BSOD, essayez ceci:

 

Démarrez une invite de commandes en mode Administrateur

Démarrer->Tous les)Programmes->Accessoires -> Invite de commandes.

Choisissez Exécuter en tant qu'Administrateur.

Copiez-collez dans la fenêtre de commandes,:

sfc /scannow

 

Patientez le temps de l'analyse.

Windows vous dira s'il a pu réparer ou non

Redémarrer

Lien vers le commentaire
Partager sur d’autres sites
dayzen Member

dayzen

Posté(e)
  • Auteur
Posté(e) (modifié)

D'abord merci de prendre du temps pour m'aider,

 

voici le rapport ZHPfix :

 

 

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011

Fichier d'export Registre :

Run by Dayshen at 20/02/2012 12:07:13

Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Module(s) mémoire ==========

SUPPRIME Memory Module: C:\Users\Dayshen\AppData\Local\Temp\AskSLib.dll

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (None) : {3DEDEB96-A5DA-4AE3-AD3C-3CE3B6BE2D2A}

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe

SUPPRIME Flash Cookies: 88

SUPPRIME Temporaires Windows: : 96

 

========== Fichier(s) ==========

SUPPRIME File: c:\users\dayshen\appdata\roaming\microsoft\windows\start menu\programs\social games.lnk

SUPPRIME File: c:\setup.log

SUPPRIME File: c:\rhdsetup.log

SUPPRIME File: c:\users\dayshen\appdata\local\temp\askslib.dll

SUPPRIME Flash Cookies: 42

SUPPRIME Temporaires Windows: : 100

 

========== Tache planifiée ==========

SUPPRIME Task: {FC674654-3656-425C-8102-7D2DF163B4FC}

 

========== Autre ==========

NON TRAITE PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

NON TRAITE PROCESSUS SUPERFLU DU SYSTEME

NON TRAITE TOOLBAR INUTILE (Navigateur internet)

 

 

========== Récapitulatif ==========

1 : Module(s) mémoire

1 : Clé(s) du Registre

3 : Valeur(s) du Registre

3 : Dossier(s)

6 : Fichier(s)

1 : Tache planifiée

3 : Autre

 

 

End of clean in 00mn 02s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 20/02/2012 12:07:13 [1816]

 

 

Pour l'instant pas de BSOD.. j'ai fait une maj du bios hier dans l'après midi, peut être que sa a réglé le problème.

 

Pour l'analyse avec la commande sfc /scannow,

le programme de protection n'a trouvée aucune violation d'intégrité.

 

Je vais tester plusieurs reboot voir si sa me fait encore des blocages et je vous tiendrais au courant d'ici 1 semaine si j'ai des BSOD ou pas.

 

Merci !

Modifié par dayzen
Lien vers le commentaire
Partager sur d’autres sites
dayzen Member

dayzen

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Malheureusement je crains que mon problème soit plus profond car ce matin encore un BSOD en pleine navigation internet.

 

 

Voici le rapport Whocrashed du dernier bluescreen :

 

On Tue 21/02/2012 10:02:56 GMT your computer crashed

crash dump file: C:\Windows\Minidump\022112-15849-01.dmp

This was probably caused by the following module: avkmgr.sys (avkmgr+0x2E23)

Bugcheck code: 0xF4 (0x3, 0xFFFFFFFF871D5BD8, 0xFFFFFFFF871D5D44, 0xFFFFFFFF83021D60)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\drivers\avkmgr.sys

product: AntiVir Desktop

company: Avira GmbH

description: Avira Manager Driver

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: avkmgr.sys (Avira Manager Driver, Avira GmbH).

Google query: avkmgr.sys Avira GmbH CRITICAL_OBJECT_TERMINATION

 

 

 

 

On Tue 21/02/2012 10:02:56 GMT your computer crashed

crash dump file: C:\Windows\memory.dmp

This was probably caused by the following module: avkmgr.sys (avkmgr!funca+0x166D)

Bugcheck code: 0xF4 (0x3, 0xFFFFFFFF871D5BD8, 0xFFFFFFFF871D5D44, 0xFFFFFFFF83021D60)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\drivers\avkmgr.sys

product: AntiVir Desktop

company: Avira GmbH

description: Avira Manager Driver

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: avkmgr.sys (Avira Manager Driver, Avira GmbH).

Google query: avkmgr.sys Avira GmbH CRITICAL_OBJECT_TERMINATION

 

 

Une idée d'ou cela peut il venir ?

Lien vers le commentaire
Partager sur d’autres sites
dayzen Member

dayzen

Posté(e)
  • Auteur
Posté(e) (modifié)

En fait j'ai déjà désinstallé puis réinstallé antivir il y a 2 jours du fait que le rapport whocrashed m'indiquait antivir comme cause du problème.

Ma question serait plutôt pourquoi j'ai ce problème.. j'ai toujours eut antivir sur mes anciennes configs et jamais eut de soucis.

 

 

voici ma liste complète des rapports whocrashed :

 

On Tue 21/02/2012 10:02:56 GMT your computer crashed

crash dump file: C:\Windows\Minidump\022112-15849-01.dmp

This was probably caused by the following module: avkmgr.sys (avkmgr+0x2E23)

Bugcheck code: 0xF4 (0x3, 0xFFFFFFFF871D5BD8, 0xFFFFFFFF871D5D44, 0xFFFFFFFF83021D60)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\drivers\avkmgr.sys

product: AntiVir Desktop

company: Avira GmbH

description: Avira Manager Driver

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: avkmgr.sys (Avira Manager Driver, Avira GmbH).

Google query: avkmgr.sys Avira GmbH CRITICAL_OBJECT_TERMINATION

 

 

 

 

On Tue 21/02/2012 10:02:56 GMT your computer crashed

crash dump file: C:\Windows\memory.dmp

This was probably caused by the following module: avkmgr.sys (avkmgr!funca+0x166D)

Bugcheck code: 0xF4 (0x3, 0xFFFFFFFF871D5BD8, 0xFFFFFFFF871D5D44, 0xFFFFFFFF83021D60)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\drivers\avkmgr.sys

product: AntiVir Desktop

company: Avira GmbH

description: Avira Manager Driver

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: avkmgr.sys (Avira Manager Driver, Avira GmbH).

Google query: avkmgr.sys Avira GmbH CRITICAL_OBJECT_TERMINATION

 

 

 

 

On Sat 18/02/2012 18:24:38 GMT your computer crashed

crash dump file: C:\Windows\Minidump\021812-15927-01.dmp

This was probably caused by the following module: ntkrnlpa.exe (nt+0xDEEF4)

Bugcheck code: 0x101 (0x31, 0x0, 0xFFFFFFFFA6136120, 0x3)

Error: CLOCK_WATCHDOG_TIMEOUT

file path: C:\Windows\system32\ntkrnlpa.exe

product: Microsoft® Windows® Operating System

company: Microsoft Corporation

description: NT Kernel & System

Bug check description: This indicates that an expected clock interrupt on a secondary processor, in a multi-processor system, was not received within the allocated interval.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.

The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.

 

 

On Sat 18/02/2012 09:39:07 GMT your computer crashed

crash dump file: C:\Windows\Minidump\021812-15693-01.dmp

This was probably caused by the following module: avkmgr.sys (avkmgr+0x2E23)

Bugcheck code: 0xF4 (0x3, 0xFFFFFFFF9F7D8798, 0xFFFFFFFF9F7D8904, 0xFFFFFFFFE2E58D60)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\drivers\avkmgr.sys

product: AntiVir Desktop

company: Avira GmbH

description: Avira Manager Driver

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: avkmgr.sys (Avira Manager Driver, Avira GmbH).

Google query: avkmgr.sys Avira GmbH CRITICAL_OBJECT_TERMINATION

 

 

 

 

On Wed 15/02/2012 15:41:19 GMT your computer crashed

crash dump file: C:\Windows\Minidump\021512-16458-01.dmp

This was probably caused by the following module: ntkrnlpa.exe (nt+0xDEEF4)

Bugcheck code: 0xC000021A (0xFFFFFFFFD392DE58, 0xFFFFFFFFC0000006, 0x754BE53D, 0x18FF89C)

Error: STATUS_SYSTEM_PROCESS_TERMINATED

file path: C:\Windows\system32\ntkrnlpa.exe

product: Microsoft® Windows® Operating System

company: Microsoft Corporation

description: NT Kernel & System

Bug check description: This means that an error has occurred in a crucial user-mode subsystem.

There is a possibility this problem was caused by a virus or other malware.

The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.

 

 

Je vais quand même tenter de prendre contact avec avira.. et vous tiens au courant !

 

Si vous avez d'autres pistes pour régler mon problème je suis preneur !

 

Merci.

 

 

EDIT --------------

 

je viens de poster sur le forum du support avira

vous pouvez suivre le sujet ici

J'espère que la solution s'y trouve !!

 

-------------------

Modifié par dayzen
Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

100802011301656526.jpg

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

Lien vers le commentaire
Partager sur d’autres sites
dayzen Member

dayzen

Posté(e)
  • Auteur
Posté(e) (modifié)

MBRcheck m'indique :

 

Windows 7 MBR code detected (pour mon ssd)

et

Windows XP MBR code detected (pour mon disque dur secondaire)

 

Mon dd secondaire est mon ancien disque dur principal (de mon ancienne config), comme je le voulais vierge sans os dessus j'ai chercher sur internet comment formater sans réinstaller un os, pour finir j'ai fait un clique droit > formater sur le disque en question, sa m'a tout effacé très rapidement (moins de 30 secondes) j'ai trouvé sa louche.. mais j'ai lu sur un forum que procéder ainsi ne posait pas de problèmes.

 

Alors je me dit maintenant que peut être il y a un conflit entre les 2 disques ?

Des clés de registre ou ce genre de choses étant encore sur mon dd secondaire poserait problème..?

 

Qu'en pensez vous ?

Modifié par dayzen
Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Vous dites avoir formaté votre disque secondaire mais qu'il y aurait des données.

 

Cela donne à penser que vous n'auriez fait qu'un formatage rapide au lieu d'un formatage normal.

 

Il n'y aurait conflit entre les disques que si vous bootiez sur les 2 à la fois, ce qui ne me parait pas possible.

 

Cela dit Mbrcheck ne voit rien d'anormal.

 

Téléchargez sur le bureau

MBR Rootkit Detector 0.2.4 by gmer

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

Vous les réactiverez après la désinfection terminée.

Clic sur l'onglet "rootkit"

Clic sur Scan

- Un rapport sera généré -> mbr.log.

En Copier/coller le résultat dans la réponse .

si votre machine est saine,

Mbr.log vous dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

 

En cas d'infection,vous devriez voir un rapport de ce genre:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x858e41c0

\Driver\atapi -> 0x89bf0410

NDIS: GlobeTrotter HSxPA - Network Interface #2 -> SendCompleteHandler -> 0x8591de70

Warning: possible MBR rootkit infection !

copy of MBR has been found in sector 0x01749DDC1

malicious code @ sector 0x01749DDC4 !

PE file found in sector at 0x01749DDDA !

MBR rootkit infection detected !

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
dayzen Member

dayzen

Posté(e)
  • Auteur
Posté(e)

Voici le rapport :

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Windows 6.1.7601 Disk: OCZ-VERTEX3 rev.2.15 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-4

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

 

Apparemment la machine est saine alors.. c'est déjà sa !

 

Concernant le HDD, j'ai fait un formatage à partir de windows en allant dans le poste de travail > clique droit sur le disque > formater.

Aujourd'hui je m'en sert pour mettre musiques, vidéos, documents et quelques logiciels qui n'ont pas besoin de la rapidité du ssd.

 

Mais si vous me dites qu'il ne peut pas y avoir conflit, je vous crois !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...