[Résolu] Virus ou autre impossible à détecter

[Kalliope]

Le rapport:

 

RogueKiller V8.0.0 [26/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : HP_Administrator [Droits d'admin]

Mode : Recherche -- Date : 26/08/2012 20:59:26

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[services][ROGUE ST] HKLM\[...]\ControlSet001\Services\MEMSWEEP2 (\??\C:\WINDOWS\system32\36.tmp) -> TROUVÉ

[services][ROGUE ST] HKLM\[...]\ControlSet003\Services\MEMSWEEP2 (\??\C:\WINDOWS\system32\36.tmp) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HDT721016SLA380 +++++

--- User ---

[MBR] 9376351c7603ae7c9bce6a996034df61

[bSP] 2b5a03e8d701ce6caf154734373c5648 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 142599 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 292061184 | Size: 10018 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Il a trouvé quelque chose, non ?

[Apollo]

Ouaip.

 

Relance l'outil et clique sur suppression.

Poste le rapport.

 

++

[Kalliope]

Et voilà :

 

RogueKiller V8.0.0 [26/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : HP_Administrator [Droits d'admin]

Mode : Suppression -- Date : 26/08/2012 21:08:12

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[services][ROGUE ST] HKLM\[...]\ControlSet001\Services\MEMSWEEP2 (\??\C:\WINDOWS\system32\36.tmp) -> SUPPRIMÉ

[services][ROGUE ST] HKLM\[...]\ControlSet003\Services\MEMSWEEP2 (\??\C:\WINDOWS\system32\36.tmp) -> SUPPRIMÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HDT721016SLA380 +++++

--- User ---

[MBR] 9376351c7603ae7c9bce6a996034df61

[bSP] 2b5a03e8d701ce6caf154734373c5648 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 142599 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 292061184 | Size: 10018 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

[Apollo]

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  NB: Tu peux également désinstaller eset online par ajout/suppression de programmes (xp), ou programmes et fonctionnalités sous Vista/7 ou alors via le dossier eset qui est sur le C:\ qui contient un fichier unins ou uninstall.exe à exécuter.
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

 

Tu peux, si tu désires, utiliser Kaspersky à la place: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français ça risque d'être long mais efficace.

 

@++

[Kalliope]

Bonjour !

Voilà le rapport ESET :

C:\Documents and Settings\HP_Administrator\Mes documents\Téléchargements\programmes téléchargés\IZArc4.1.exe Win32/OpenCandy application cleaned by deleting - quarantined

J'ai toujours les messages d'alertes...j'en déduis qu'il reste quelque chose quelque part.

[Apollo]

Bonjour,

 

Quel est le navigateur qui se lance et essaie de se connecter à un site machin?

 

EDIT: pour des raisons personnelles, je serais absent des forums à partir de cet après-midi et j'ignore pour combien de temps.

 

+++++

Modifié le 27 août 2012 par Apollo

[Kalliope]

Ben je sais pas trop. Je crois qu'Avast marque dans son message Process: svchost.exe...

[Apollo]

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

NB: Si ComboFix dit qu'il y a quand-même un antivirus actif, faire l'analyse en mode sans échec, les protections seront désactivées quoi qu'il en dise: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[Kalliope]

Rapport Combofix:

 

Lien CJoint.com 0HBqtjZ41lL

 

Comme tu peux le constater,la console de récupération n'a pas pu être installé.

J'ai lu dans le tuto qu'on peux l'installer manuellement mais je préfère attendre tes conseils.

[Kalliope]

Bon la troisième tentative était la bonne. Combofix a réussi à installer la console de récupération ! Voici le rapport :

Lien CJoint.com 0HCrdkhgR75

 

J'ai redémarré l'ordi et malheureusement j'ai toujours ce fichu message d'Avast...