Virus « gendarmerie nationale »

[fragme]

Bonsoir,

 

Je suis confronté à un assez gros problème sur mon ordinateur, en effet j'ai choppé le fameux virus de la "gendarmerie nationale", et depuis mon ordinateur redémarre à la page d'accueil de Windows.

 

J'arrive juste à démarrer en mode sans échec, j'ai fait un scan avec Malwarebytes qui m'a supprimé pas mal de virus, mais le problème persiste

 

Si quelqu'un pourrait m'aider ce serait sympa

Je vous poste mon scan HijackThis et Malwarebytes.

Merci d'avance pour votre aide.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 04:33:38, on 07/03/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Trend Micro\HijackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [F.lux] "C:\Documents and Settings\nass\Local Settings\Apps\F.lux\flux.exe" /noshow

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {4ABB12B3-8A8B-481D-874A-93E16F930A8B} (CKKeyPro Crypto support Class (CKNhnInst)) - http://www.hangame.com/common/CKKeyProInst.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1279017811296

O16 - DPF: {6CE20149-ABE3-462E-A1B4-5B549971AA38} (XecureCKKB Class) -

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279017802312

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_1_0_4.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C94AA42-7A29-4B10-B30C-744B2B8470E0}: NameServer = 212.27.40.240

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F948AC9-2D37-41AD-A521-5350AD11CCA0}: NameServer = 212.27.40.240,212.27.40.241

O17 - HKLM\System\CCS\Services\Tcpip\..\{971FEA1A-1331-4418-A108-CE86201EE3FD}: NameServer = 8.8.8.8,212.27.40.240

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe

O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files\Fichiers communs\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe

O23 - Service: Service Google Update (gupdate1c994667e5866c) (gupdate1c994667e5866c) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Sony Ericsson PCCompanion - Avanquest Software - C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

 

--

End of file - 8076 bytes

 

scan Malwarebytes

 

Malwarebytes Anti-Malware (Essai) 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.06.09

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.6001.18702

nass :: BSN [administrateur]

 

Protection: Désactivé

 

07/03/2012 04:41:14

mbam-log-2012-03-07 (04-41-14).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 217616

Temps écoulé: 7 minute(s), 2 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 4

C:\WINDOWS\system32\personalsecuredriveservice.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\avgclean.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\NITaggerService.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\qmofiltr.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[pear]

Bonjour,

 

Hijackthis ne vaut plus guère!

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tournevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[fragme]

Bonjour, merci pour ton aide, je rencontre un probleme avec zhpdiag, il bloc le scan et met un message "indice de liste hors limites"

 

que faire ?

[pear]

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

[fragme]

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

c'est bon j'ai réussis voici le lien cjoint : Lien CJoint.com BChseoUZSAD

[pear]

Avant tout, tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

 

ensuite:

 

1) Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible dans que le scan n'a pas été fait

 

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

3)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

4)

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

5)Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[fragme]

apparemment la restauration du systéme n'a pas fonctionné ..

 

rapport rogue killer :

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: Recherche -- Date: 07/03/2012 18:51:12

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[bLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: MAXTOR STM3160815AS +++++

--- User ---

[MBR] 0babf764f104b37aa31ddb8590f71d4e

[bSP] dcc4de2e041b91083141b23e145c1037 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST380020A +++++

--- User ---

[MBR] b7a4a26920340eb28e3b07efe62539d4

[bSP] 18803363c294d5c4aa7449a999025d21 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38146 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 78124095 | Size: 38170 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

scan aprés suppression

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: Suppression -- Date: 07/03/2012 18:55:09

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[bLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> NOT SELECTED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: MAXTOR STM3160815AS +++++

--- User ---

[MBR] 0babf764f104b37aa31ddb8590f71d4e

[bSP] dcc4de2e041b91083141b23e145c1037 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST380020A +++++

--- User ---

[MBR] b7a4a26920340eb28e3b07efe62539d4

[bSP] 18803363c294d5c4aa7449a999025d21 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38146 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 78124095 | Size: 38170 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

scan host raz

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: HOSTS RAZ -- Date: 07/03/2012 18:56:36

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

scan proxy raz

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: Proxy RAZ -- Date: 07/03/2012 18:57:20

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

scan dns raz

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: DNS RAZ -- Date: 07/03/2012 18:57:58

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

scan racc raz

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage :

Utilisateur: nass [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 07/03/2012 19:04:02

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[HJ NAME] svchost.exe -- \\.\globalroot\SystemRoot\system32\svchost.exe -> KILLED [TermProc]

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 25 / Fail 0

Menu demarrer: Success 4 / Fail 0

Dossier utilisateur: Success 587 / Fail 0

Mes documents: Success 41 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 889 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[A:] \Device\Floppy0 -- 0x2 --> Skipped

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

[E:] \Device\Harddisk2\DP(1)0-0+8 -- 0x2 --> Restored

[F:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[G:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[H:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[J:] \Device\Harddisk3\DP(1)0-0+9 -- 0x2 --> Restored

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

adw cleaner

 

# AdwCleaner v1.500 - Rapport créé le 07/03/2012 à 19:13:00

# Mis à jour le 23/02/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : nass - BSN

# Exécuté depuis : C:\Documents and Settings\nass\Bureau\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [H. Navipromo] *****

 

 

***** [Registre] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : qjnwfh7e.default

Fichier : C:\Documents and Settings\nass\Application Data\Mozilla\Firefox\Profiles\qjnwfh7e.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v17.0.963.56

 

Fichier : C:\Documents and Settings\nass\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [5164 octets] - [25/02/2012 12:29:50]

AdwCleaner[s1].txt - [5428 octets] - [25/02/2012 12:30:27]

AdwCleaner[R2].txt - [1283 octets] - [07/03/2012 02:15:35]

AdwCleaner[s2].txt - [1345 octets] - [07/03/2012 02:15:46]

AdwCleaner[s3].txt - [1405 octets] - [07/03/2012 03:05:36]

AdwCleaner[R3].txt - [1334 octets] - [07/03/2012 19:13:00]

 

adwcleaner suppression

# AdwCleaner v1.500 - Rapport créé le 07/03/2012 à 19:14:05

# Mis à jour le 23/02/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : nass - BSN

# Exécuté depuis : C:\Documents and Settings\nass\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [H. Navipromo] *****

 

 

***** [Registre] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : qjnwfh7e.default

Fichier : C:\Documents and Settings\nass\Application Data\Mozilla\Firefox\Profiles\qjnwfh7e.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v17.0.963.56

 

Fichier : C:\Documents and Settings\nass\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [5164 octets] - [25/02/2012 12:29:50]

AdwCleaner[s1].txt - [5428 octets] - [25/02/2012 12:30:27]

AdwCleaner[R2].txt - [1283 octets] - [07/03/2012 02:15:35]

AdwCleaner[s2].txt - [1345 octets] - [07/03/2012 02:15:46]

AdwCleaner[s3].txt - [1405 octets] - [07/03/2012 03:05:36]

AdwCleaner[R3].txt - [1463 octets] - [07/03/2012 19:13:00]

AdwCleaner[s4].txt - [1396 octets] - [07/03/2012 19:14:05]

 

########## EOF - C:\AdwCleaner[s4].txt - [1524 octets] ##########

 

Rapport mbam

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.07.04

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.6001.18702

nass :: BSN [administrateur]

 

07/03/2012 19:27:46

mbam-log-2012-03-07 (19-27-46).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 396106

Temps écoulé: 1 heure(s), 2 minute(s), 15 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 1

C:\Documents and Settings\nass\Application Data\Best Virus Protection (Rogue.BestVirusProtection) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 20

C:\WINDOWS\system32\pav_security.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP5\A0009063.exe (Rogue.AntimalwarePCSafety) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP8\A0021159.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP8\A0021160.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP9\A0023239.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP9\A0023240.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP9\A0023248.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{CDAB9B3F-A57D-429C-8522-D2FFD80AA5BE}\RP9\A0023249.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\Afc.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\BCMWLNPF.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\CoachUsb.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\nvstor64.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\se58mdfl.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\symidsco.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\tdrpman.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\uagp35.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\nass\Application Data\Microsoft\Internet Explorer\Quick Launch\Best Virus Protection.lnk (Rogue.BestVirusProtection) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\nass\Menu Démarrer\Best Virus Protection.lnk (Rogue.BestVirusProtection) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\nass\Application Data\Best Virus Protection\cookies.sqlite (Rogue.BestVirusProtection) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\nass\Application Data\Best Virus Protection\Instructions.ini (Rogue.BestVirusProtection) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[pear]

apparemment la restauration du systéme n'a pas fonctionné ..

 

Si , je crois mais vous aviez très probablement restauré une sauvegarde infectée ainsi qu'elles apparaissent dans le rapport de Mbam.

 

Relancez RogueKiller pour vérifier qu'il ne voit plus ZeroAccess.

 

Si c'est bien le cas, relancez Zhpdiag.

 

Si l'infection persiste:

Télécharger FixTdss

 

Fermez tous les programmes.

Si vous utilisez Windows XP, désactivez Restauration du système.

Double-cliquez sur FixTDSS.exe pour lancer l'outil

Cliquez sur Démarrer pour commencer le processus, puis laissez l'outil s'exécuter.

Redémarrez l'ordinateur lorsque vous êtes invité par l'outil.

L'outil vous informe de l'état de l'infection.

[fragme]

le probleme c'est que pour faire la restauration du systéme je dois passé par le mode sans echec car je n'ai pas accés a l'invité de commande en mode sans echec. et quand le pc redemarre, il redemarre sur windows normalement donc il reboot aprés le logo windows donc impossible de faire une restauration, j'avais d'ailleurs un message qui me le confirmé.

 

 

depuis que j'ai lancer le FixTDSS mon pc ne boot plus du tout, meme en mode sans echec .. avec un ecran bleu qui disparait rapidement aprés logo windows, j'ai reussi a voir le mezssage en filmant avec mon telephone..

 

[quoteUn problème a été détecté et Windows a été arreté afin de prévenir tout dommage sur votre ordinateur.

 

PAGE_FAULT_IN_NONPAGED_AREA

 

Si vous voyez cet écran d'erreur pour la première fois, redémarrez votre ordinateur. Si cet écran apparait encore, suivez ces étapes :

 

Assurez-vous que tout nouveau matériel ou logiciel est installé correctement. S'il s'agit d'une nouvelle installation, consultez votre fabricant de materiel ou de logiciel afin d'obtenir les mises a jour windows dont vous avez besoin.

 

Si les problèmes persistent, désactivez ou supprimez tout materiel ou tout logiciel nouvellement installé. Désactivez les options de mémoire du BIOS telles que la mise en cache ou l'ombrage.

Si vous etes obligé d'utiliser le Mode sans echec pour supprimer ou désactiver des composants, redémarrez votre ordinateur, appuyez sur F8 pour sélectionner les options de démarrage vancées, puis sélectionnez le Mode sans échec.

 

Informations techniques :

 

*** STOP: 0x00000050 (0xFABA34D8, 0x00000001, 0x80857227, 0x00000000)

 

je crois qu'il ne me reste plus qu'a formater l'ordinateur

Modifié le 8 mars 2012 par fragme

[pear]

je crois qu'il ne me reste plus qu'a formater l'ordinateur

 

Vous avez donc le cd de Windows.

Tentez alors une réparation sans pertes de données ou logiciels.

 

Démarrer le PC depuis le CD de Windows.

La procédure demande si on veut

- installer Windows.

- réparer ou récupérer Windows.

 

Répondre "Installer" (touche <Entrée>)

 

Récupérer (touche R) lancerait la console de récupération (ce n'est pas ce qu'on veut ici).

 

La procédure d'installation examine alors la machine.

 

Puis un écran (toujours en mode texte) s'affiche en indiquant qu'une précédente installation de Windows a été découverte.

Il est alors demandé si on veut

- réparer Windows

- faire une nouvelle installation

 

Répondre "Réparer" (touche R)

 

Windows va s'installer comme si c'était une première fois, avec copie préalable de fichiers nécessaires au passage en mode graphique.

 

MAIS tout ce qui existe sera CONSERVÉ intégralement.

Seuls les fichiers du système seront remplacés.

Par exemple tous les comptes utilisateurs précédemment définis sont maintenus.

Toutes les applications installées, les personnalisations de Windows sont intégralement conservées.

 

ll faudra obligatoirement ressaisir la clef du produit (5 fois 5 caractères).

 

Si vous avez perdu ou oublié votre clé:

Copier/Coller dans le bloc notes, enregistrer sous..key.vbs

Doble clic pour le lancer

WScript.Echo GetKey(CreateObject("WScript.Shell").RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId"))

Function GetKey(rpk)

i=28

szPossibleChars="BCDFGHJKMPQRTVWXY2346789"

Do

dwAccumulator=0:j=14

Do

dwAccumulator=dwAccumulator*256

dwAccumulator=dwAccumulator+rpk(j+52)

rpk(j+52)=(dwAccumulator\24)and 255

dwAccumulator=dwAccumulator Mod 24

j=j-1

Loop While j>=0

i=i-1:szProductKey=mid(szPossibleChars,dwAccumulator+1,1)&szProductKey

if(((29-i)Mod 6)=0)and(i<>-1)then

i=i-1:szProductKey="-"&szProductKey

End If

Loop While i>=0

GetKey=szProductKey

End Function