Virus (ou pas), qui desactive le gestionnaireFermé

Question

Bonjour,

Je vous expose mon problème :

Au bout d'un certain temps (jamais le même, et pas systématique) je ne peux plus ouvrir le gestionnaire des taches, quand j'ouvre certaines fenêtres/programme je me retrouve avec le thème Windows classique alors que je suis sous Vista (avec le thème Vista). Mieux encore certaines application ne se lancent pas, et quand je veux redémarrer cela met longtemps (et n'est pas comme d'habitude :  écran noir au lieu de déconnexion, arrêt, ...)

J'ai fait une analyse avec Malwarebyte (5 infections supprimé mais le problème est toujours la ; voilà les 5 infections :
Backdoor.Bifrose   File       C:\Windows\system32\Bifrost\logg.dat
Backdoor.Bifrose   Folder   C:\Windows\sysetm32\Bifrost
Backdoor.Bifrose   Registry Key  HKEY_current_user_soft\Bifrost
Backdoor.Bifrose   Registry Key  HKEY_local_machine\software\Bifrost
Adware .............. (pas important je pense)


Ma question est l'infection est elle toujours la ?? y a t il des manip a faire en plus ?


Merci d'avance pour vos réponses

(Si vous voulez je peux faire un rapport Hijack)

Lyonnais92 · Answer

Bonjour,

 Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Sephiroth2007 · Answer

Déjà merci de m'aider ^^

Voilà j'ai fait l'analyse, et voici le lien : http://www.cijoint.fr/cjlink.php?file=cj200907/cijj4zz2Z0.txt

Lyonnais92 · Answer

Bonjour,

tu as une infection Bagle (au moins partielle) et une infection via les supports amovibles.

Télécharge FindyKill de Chiquitine29 sur ton Bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte-toi d'Internet et ferme toutes applications en cours.

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Double-clique sur le raccourci FindyKill qui est sur ton Bureau pour lancer l'outil.

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu Choisis l'option " 1 " (Recherche) et tape sur [Entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

===========


• Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Sephiroth2007 · Answer

en 1er le rapport Findykill :


############################## | FindyKill V5.003 |

# User : Allan (Administrateurs) # UNKNOWN
# Update on 17/07/09 by Chiquitine29
# Start at: 11:59:28 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
# Internet Explorer 7.0.6000.16757
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# AV : Avira Premium Security Suite 8.0.1.30 [ (!) Disabled | (!) Outdated ]
# FW : COMODO Firewall Pro[ (!) Disabled ]2.3.035
# FW : Avira Firewall[ Enabled ]8.0.1.30
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# C:\ # Disque fixe local # 74,52 Go (26,72 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 149,05 Go (42,77 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 73,06 Go (38,46 Go free) [Data] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# J:\ # Disque amovible # 3,73 Go (316,73 Mo free) [CLE 4GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32undll32.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Mozilla Firefox\Mozilla Firefox\opt\Optimizers\Fuo\Firefox Ultimate Optimizer.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\agrsmsvc.exe
D:\Catia\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\ptc_d.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\lxcecoms.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Toshiba TEMPO\TempoSVC.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |

Présent ! C:\Windows\system32\drivers\srosa2.sys  

################## | C:\Users\Allan\AppData\Roaming |


################## | C:\Users\Allan\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\software\microsoft\security center\Svc] "FirewallOverride" 0x1  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 3 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |

en 2eme le rapport UsbFix :


############################## | UsbFix V6.008 |

# User : Allan (Administrateurs) # UNKNOWN
# Update on 17/07/09 by Chiquitine29 & C_XX
# Start at: 12:08:36 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
# Internet Explorer 7.0.6000.16757
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# AV : Avira Premium Security Suite 8.0.1.30 [ (!) Disabled | (!) Outdated ]
# FW : COMODO Firewall Pro[ (!) Disabled ]2.3.035
# FW : Avira Firewall[ Enabled ]8.0.1.30
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# C:\ # Disque fixe local # 74,52 Go (26,72 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 149,05 Go (42,77 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 73,06 Go (38,46 Go free) [Data] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# J:\ # Disque amovible # 3,73 Go (316,73 Mo free) [CLE 4GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32undll32.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Mozilla Firefox\Mozilla Firefox\opt\Optimizers\Fuo\Firefox Ultimate Optimizer.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\agrsmsvc.exe
D:\Catia\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\ptc_d.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\lxcecoms.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Toshiba TEMPO\TempoSVC.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Users\Allan\Temporary Internet Files |


################## | All Drives ... |

Présent ! J:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013  
Présent ! J:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013  

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{60a4f52e-1520-11de-a6ef-001b38adb25e}
shell\Auto\command =I:\UFO.exe 
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\UFO.exe

HKCU\..\..\Explorer\MountPoints2\{6bbb451a-53f4-11de-b0d5-001b38adb25e}
shell\AutoRun\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe 
shell\open\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe 

HKCU\..\..\Explorer\MountPoints2\{87b4e573-4920-11de-b189-001b38adb25e}
shell\AutoRun\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe 
shell\open\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe 

HKCU\..\..\Explorer\MountPoints2\{acaf5518-149e-11de-846c-001b38adb25e}
shell\Auto\command =I:\UFO.exe 
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\UFO.exe

HKCU\..\..\Explorer\MountPoints2\{f4835215-5a80-11de-bf65-001b38adb25e}
shell\AutoRun\command =password_viewer.exe %1
shell\Explore\command =password_viewer.exe %1
shell\Open\command =password_viewer.exe %1

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 3 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |




Juste une petite remarque : pendant la recherche de Findykill, j'ai eu un message plusieurs fois comme quoi un "truc" s'était arrété ... j'ai oublié le nom :/
 

PS: J'ai été infecté par Beagle une fois, et à priori je n'étais plus infecté (je me suis fait aidé sur ce forum)
PS2: quand le gestionnaire devient inaccessible, ce n'est pas "désactivé par l'administrateur" mais quelque chose comme "cette option n'a pas pu être lancé ..."

Lyonnais92 · Answer

Re,

! Déconnecte toi d'Internet et ferme toutes les application en cours ( navigateur compris ).

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu choisis l'option 2 (suppression) et tape sur [Entrée].

• Le pc va redémarrer automatiquement ...

• Le programme va travailler , ne touche à rien ... , ton Bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

===========

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir.

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Sephiroth2007 · Answer

Alors voila le rapport Findykill :


############################## | FindyKill V5.003 |

# User : Allan (Administrateurs) # UNKNOWN
# Update on 17/07/09 by Chiquitine29
# Start at: 13:04:16 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
# Internet Explorer 7.0.6000.16757
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# AV : Avira Premium Security Suite 8.0.1.30 [ (!) Disabled | (!) Outdated ]
# FW : COMODO Firewall Pro[ (!) Disabled ]2.3.035
# FW : Avira Firewall[ Enabled ]8.0.1.30
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# C:\ # Disque fixe local # 74,52 Go (26,77 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 149,05 Go (42,77 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 73,06 Go (38,46 Go free) [Data] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# J:\ # Disque amovible # 3,73 Go (316,73 Mo free) [CLE 4GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32undll32.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\agrsmsvc.exe
D:\Catia\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\flexnet\i486_nt\obj\ptc_d.exe
C:\Windows\system32\lxcecoms.exe
C:\Windows\system32\msiexec.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Toshiba TEMPO\TempoSVC.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\PresentationSettings.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-A70CE706.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |

Supprimé ! C:\Windows\system32\drivers\srosa2.sys  

################## | C:\Users\Allan\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Value ! [HKLM\software\microsoft\security center\Svc] "FirewallOverride" -> Reset sucessfully !  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |

Corrompu : C:\Program Files\Unlocker\UnlockerAssistant.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : C:\Windows\SoftwareDistribution\Download\b1b96411ebe18f45eb0a2fed3bb469d8\x86_mcupdate_31bf3856ad364e35_6.0.6000.16679_none_c673e63faed8754d\mcupdate.exe
[Offset = 000000DC - Valeur = 0x0001]

Tentative de réparation... 
Sauvegarde : mcupdate.exe.REN
[Offset = 000000DC - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès. 


Corrompu : C:\Windows\SoftwareDistribution\Download\b1b96411ebe18f45eb0a2fed3bb469d8\x86_mcupdate_31bf3856ad364e35_6.0.6000.20821_none_c72b923cc7d4bbd1\mcupdate.exe
[Offset = 000000DC - Valeur = 0x0001]

Tentative de réparation... 
Sauvegarde : mcupdate.exe.REN
[Offset = 000000DC - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès. 


Corrompu : C:\Windows\SoftwareDistribution\Download\b1b96411ebe18f45eb0a2fed3bb469d8\x86_mcupdate_31bf3856ad364e35_6.0.6001.18061_none_c85cf281abfe1f95\mcupdate.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation... 
Sauvegarde : mcupdate.exe.REN
[Offset = 000000E4 - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès. 


Corrompu : C:\Windows\SoftwareDistribution\Download\b1b96411ebe18f45eb0a2fed3bb469d8\x86_mcupdate_31bf3856ad364e35_6.0.6001.22165_none_c8ea9074c51824bb\mcupdate.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation... 
Sauvegarde : mcupdate.exe.REN
[Offset = 000000E4 - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès. 



################## | Cracks / Keygens / Serials |

"C:\Users\Allan\.housecall6.6\"patch.exe""  
15/07/2009 20:43 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e  
 


Mais pour UsbFix je n'ai pas de rapport, quand je lance UsbFix j'ai le message suivant :

"GetPaths.exe a cessé de fonctionner" un problème est à l'origine ... blalbla .... 
Fermer le programme.

Ensuite le prog se lance, je fait F puis 2, ça lance un truc et redémarre mais y ne se passe rien au démarrage.

[De plus l'UAC de vista s'est remis alors que je l'avais désactivé]

Sephiroth2007 · Answer

Et j'ai oublié pendant l'analyse de FindyKill, voilà le message que j'ai eu (comme pour la recherche)

"Utilitaire (QGREP) de recherche de chaines de caractères a cessé de fonctionner"

J'ai l'ai eu 3 fois

Utilisateur anonyme · Answer

Salut ,

Pour avancer Lyonnais92 

réexécute Usbfix en tant qu adminstrateur ....


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Sephiroth2007 · Answer

Et voilà le rapport UsbFix :


############################## | UsbFix V6.008 |

# User : Allan (Administrateurs) # UNKNOWN
# Update on 17/07/09 by Chiquitine29 & C_XX
# Start at: 14:48:35 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T7500  @ 2.20GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
# Internet Explorer 7.0.6000.16757
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# AV : Avira Premium Security Suite 8.0.1.30 [ (!) Disabled | (!) Outdated ]
# FW : COMODO Firewall Pro[ (!) Disabled ]2.3.035
# FW : Avira Firewall[ Enabled ]8.0.1.30
# FW : ZoneAlarm Firewall[ Enabled ]8.0.065.000

# C:\ # Disque fixe local # 74,52 Go (26,79 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 149,05 Go (42,77 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 73,06 Go (38,46 Go free) [Data] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# J:\ # Disque amovible # 3,73 Go (316,74 Mo free) [CLE 4GO] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32undll32.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\agrsmsvc.exe
D:\Catia\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\lmgrd.exe
C:\Program Files\flexnet\i486_nt\obj\ptc_d.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\lxcecoms.exe
C:\Windows\system32\msiexec.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Toshiba TEMPO\TempoSVC.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Users\Allan\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center\Svc "FirewallOverride" # -> Reset sucessfully !  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{60a4f52e-1520-11de-a6ef-001b38adb25e}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{6bbb451a-53f4-11de-b0d5-001b38adb25e}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{87b4e573-4920-11de-b189-001b38adb25e}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{acaf5518-149e-11de-846c-001b38adb25e}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f4835215-5a80-11de-bf65-001b38adb25e}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[18/04/2007 07:03|-ra-s----|8192] - C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] - C:\config.sys
[04/07/2008 14:43|-rahs----|0] - C:\IO.SYS
[22/03/2009 14:20|--a------|11174] - C:\lxce.log
[04/07/2008 14:43|-rahs----|0] - C:\MSDOS.SYS
[11/11/2008 14:37|--a------|0] - C:
tuser.dat
[11/11/2008 14:37|--ah-----|0] - C:
tuser.dat.LOG1
[11/11/2008 14:37|--ah-----|0] - C:
tuser.dat.LOG2
[?|?|?] - C:\pagefile.sys
[30/09/2008 18:25|--a------|1127260] - C:\ptcsetup.bak
[13/07/2007 19:43|--ah-----|335] - C:\SWSTAMP.TXT
[17/07/2009 14:50|--a------|4891] - C:\UsbFix.txt
[12/07/2007 10:48|--a----t-|22880] - C:\_wdsuef.dmp
[14/06/2009 20:58|--ahs----|1331200] - D:\ehthumbs_vista.db
[16/06/2009 12:43|--a------|2190752] - J:\-Soutenance-.pptx
[02/03/2007 09:55|--a------|307200] - J:\purge.exe
[18/05/2009 11:29|--a------|1454922] - J:\armature.igs
[16/06/2009 14:18|--a------|10554846] - J:\piece.7z
[05/03/2009 20:13|--a------|7885511] - J:\Mozilla(sauvergade).rar
[09/04/2009 14:24|--a------|43831] - J:\config.pro
[21/04/2008 17:34|--a------|3702216] - J:\daemon4123-lite.exe
[02/06/2009 15:47|--a------|45469] - J:\VE_90-170.STEP
[26/05/2009 20:40|--a------|4836011] - J:\Animaux Troniques.pdf
[11/05/2009 15:55|--a------|25374] - J:\Classeur1.xlsm
[10/06/2009 09:53|--a------|3247736] - J:\ccsetup220.exe
[11/05/2009 20:51|--a------|2303088] - J:\depart n°1.sav
[16/06/2009 16:12|--a------|9425833] - J:\Embase.7z
[29/05/2009 18:10|--a------|10089862] - J:\volant.7z
[14/05/2009 10:37|--ah-----|165] - J:\~$Classeur1.xlsm
[18/05/2009 16:38|--a------|5733382] - J:\ARMATURE.EMCX
[20/04/2009 17:52|--a------|1029092259] - J:\Catia V5 r17.rar
[27/05/2009 10:07|--ah-----|165] - J:\~$Classeur1.xlsx
[24/04/2008 13:44|--a------|15895117] - J:\PDFCreator-0_9_5_setup.exe
[13/11/2008 14:39|--a------|676692] - J:\Projet_tut(PTC).rar
[14/04/2009 16:04|--a------|152] - J:\site_meca_cous_etc.txt

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | Etat / Services / Informations |

# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Cracks / Keygens / Serials |

Et merci Chiquitine29 pour tes programmes qui m'aident bien (merci aussi Lyonnais92 bien sur ^^)


PS: j'ai redésactivé l'UAC (et toujours Avira et ZA pour être tranquille :)

Lyonnais92 · Answer

Re,

merci Chiquitine (Visa ah visa ...)

Sephiroth, refais tournez ZHPDiag (sans cocher l'optionO61) et transmet  le rapport toujours sous la forme d'un lien cijoint..

Sephiroth2007 · Answer

Voila le lien vers le rapport : http://www.cijoint.fr/cjlink.php?file=cj200907/cijvuJVkyC.txt

Je vient d'avoir "mon bug", je ne pouvais plus lancer Firefox, IE à mis 10min a se lancer et impossible d'avoir une page internet. (pareil pour paint par exemple mais pas office .. j y comprend plus rien :/)

Ctrtl + Alt + Supr ne marchait plus voila ce que ça me dit :
Le processus d'ouverture de session n'a pas pu créer la boite de dialogue des options …
Échec – options de sécurité

Redémarrage très long, appuis plusieurs fois sur "redémarrer" ...

(Au passage j'ajoute que je ne peux plus faire de restauration système aussi, j'avais essayé avant de poster mon problème ici)

Au fait c'est réparable ce que j'ai, ce "bug" va s'arrêter, c'est du à Bagle ? ça devient gênant pour pas dire c****t, ça fait 2/3 jours déjà

Lyonnais92 · Answer

Re,

si les symptômes persistent en fin de désinfection, il faudra réparer Windows.

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Sephiroth2007 · Answer

Et hop voilà le rapport : 

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2421
Windows 6.0.6000 

17/07/2009 19:01:08
mbam-log-2009-07-17 (19-01-06).txt

Type de recherche: Examen rapide
Eléments examinés: 89074
Temps écoulé: 4 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Allan\AppData\Roaming\wiaserva.log (Malware.Trace) -> No action taken.




Mais j'avais déjà MBAM et j'avais aussi fait une analyse avec les éléments cités dans mon 1er message.
De plus le lien pour MBAM ne marche pas.

Lyonnais92 · Answer

Re,

merci du signalement pour le lien.

Tu as supprimé le fichier détecté par MBAM ?

Continue comme ceci :

- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

A l'ouverture de la page "Scanner Options", cliquer sur [click here] de "To change this and other settings, click here" puis cliquer sur le + devant "Second option" et cocher "Report only" puis cliquer sur [OK]. 


Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)

Sephiroth2007 · Answer

Je pense qui oui j'ai supprimé le fichier (en tout cas il est encore en quarantaine comme tous les autres fichiers, faut aussi les supprimés ici ?)

Je fais le scan, je poste une fois fini mais ça sera peut être demain ... donc merci de votre aide et bonne soirée si on se revoit pas ce soir ^^

[PS: le lien du tuto ne marche plus :/ comme d'autres précédemment]
PS2: je n'ai pas eu la page avec le choix des options (nouvelle version du scanner ?)

Sephiroth2007 · Answer

Re Bonjour,

J'ai fait le scan Bitdenfer mais 0 infection, je poste quand même le rapport :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijHVZrcFX.txt

@+

Sephiroth2007 · Answer

Une question : Je peux utiliser ma clé ou elle est toujours infectée ?

Lyonnais92 · Answer

Bonjour,

ta clé a été désinfectée.

====

On va nettoyer.

*Ccleaner (gratuit)
Téléchargement :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l'installation, [décoche] l'option qui t'installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
* Clique sur [Analyse]
* Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
* Une fois le scan terminé, clique sur [Lancer le Nettoyage]

->Relance CCleaner.
Suppression des incohérences du registre

* Clique sur l'icône [Registre] situés dans la marge à gauche
* Puis clique sur [Analyser les erreurs]
* Patiente pendant que CCleaner scan ton registre.
* Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
* Tu peux cliquer ensuite sur [Corriger les erreurs].

Quand l'outil te le demandera, choisis de sauvegarder les entrées cochées pour les restaurer ultérieurement.
 
->Vide ta Corbeille.

====
Purge la restauration système en suivant les instructions de ce lien :

 http://www.libellules.ch/restauration_system_vista.php

===

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* fais un clic droit et exécuter en tant qu'administrateur.

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


 




@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !

Sephiroth2007 · Answer

Bonjour,

Ccleaner : Ok
Le lien ne montre pas vraiment comment purger la restauration mais plutôt comment l'activer. Psa grave je pense savoir comment on fait ;)

Et voilà le rapport TCleaner : 

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\Allan\- Rocket Dock -\Sécurité\HijackThis.lnk: trouvé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\Allan\Desktop\UsbFix.exe: trouvé !
C:\Users\Allan\Desktop\UsbFix.lnk: trouvé !
C:\Windows\System32\config\systemprofile\Desktop\HijackThis.lnk: trouvé !


Point de restauration crée !
---------------------------------
--> Suppression: 
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Allan\- Rocket Dock -\Sécurité\HijackThis.lnk: supprimé !
C:\Windows\System32\config\systemprofile\Desktop\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: supprimé !
C:\Users\Allan\Desktop\UsbFix.exe: supprimé !
C:\Users\Allan\Desktop\UsbFix.lnk: supprimé !
C:\UsbFix: supprimé !
C:\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !
C:\Users\Allan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !

Lyonnais92 · Answer

Bonjour,

à ce stade, comment se comporte l'ordi ?

Sephiroth2007 · Answer

Pour le moment : bien, aucun soucis même plus de petits ralentissement que je pouvais avoir ...
Donc j'attends encore un peu pour être sur que tu est OK (et je le ferai savoir ^^)

Merci pour ton aide et ta rapidité ;)

@+

Lyonnais92 · Answer

Bonjour,

trois logiciels à mettre à jour :

Acrobat Reader,

Gimp et

ta console Java.


Une fois fait, tu referas tourner ZHPDiag et tu posteras le rapport dans un lien cijoint.

Sephiroth2007 · Answer

C'est ici (https://www.java.com/fr/download/ pour mettre à jour la console java.

Lyonnais92 · Answer

Re,

plutôt comme ça :

    Ta console java n'est pas à jour, ce qui constitue une faille de sécurité.

    Ouvre ce lien :
    https://www.java.com/fr/download/manual.jsp

    Choisis la première ligne de téléchargement puis installe java.

    En fin d'installation, revient sur la page pour vérifier ton installation.

    Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime
    J2SE Runtime Environment Version 5.0 Update xx.

Sephiroth2007 · Answer

Toutes les mises à jour sont faites, et voilà le rapport ZHPdiag : 
http://www.cijoint.fr/cjlink.php?file=cj200907/cijEtG8vKn.txt

(J'ai pas Java(TM) .... 5 update xx)

Sephiroth2007 · Answer

Je revient avec la mauvaise nouvelle que mon "Bug" est  toujours là T_T

J'ai fait un rapport ZHPDiag pendant ce bug : http://www.cijoint.fr/cjlink.php?file=cj200907/cijF4lWP2w.txt

Sephiroth2007 · Answer

Re Bug mais voilà plus d'info :

Déjà c'est temporaire, si j'attends (~10min) ça revient : plus de lag, internet est revenu, thème vista revenu aussi, ainsi que tous les options tels que  : "créer un rapport sur la santé système"  ... Mais toujours pas CTRL+ALT+Suppr (mais je peux avoir le gestionnaire par le panneau de configuration)
[Remarque : si je garde le gestionnaire des tache ouvert jusqu'au bug, je peut pas arrêter de processus]

Si je ferme la session et que je revient, tous revient à la normale (ctrl+alt+suppr ...)

Je suis allé voir le journal d'événement, et voilà la cause probable :

--------------------------------------------------------------------------------------------------------------------------
Erreur   19/07/2009 17:10:22   [erreur qui ressemble a d'autre que j'ai eu avant dans les même condition ("mon bug")]

Le démarrage d'un serveur DCOM : {B1DBD568-80B2-43FA-AE07-76FB23AA4650} n'est pas possible. L'erreur : 
"5"
 s'est produite lors du démarrage de la commande : 
"C:\Program Files\Windows Live\Toolbar\wltuser.exe" -Embedding
-------------------------------------------------------------------------------------------------------------------------------
Erreur   19/07/2009 17:00:24  [Moment du plantage qui se retrouve souvent, je pense à chaque plantage]

Le démarrage d'un serveur DCOM : {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} n'est pas possible. L'erreur : 
"5"
 s'est produite lors du démarrage de la commande : 
C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5
-------------------------------------------------------------------------------------------------------------------------------

Et une autre erreur qui revient souvent :

Le démarrage d'un serveur DCOM : {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} n'est pas possible. L'erreur : 
"5"
 s'est produite lors du démarrage de la commande : 
C:\Windows\system32\wbem\wmiprvse.exe -Embedding
-----------------------------------------------------------------------------------------------------------------------------

De quoi cela peut venir ? ça m'énerve vraiment maintenant.

(PS: on peut continuer la discussion sur ton forum si tu veux)

Lyonnais92 · Answer

Bonjour,

on va voir ce que donne ceci :

    * Télécharge et installe CCleaner Slim ici https://www.ccleaner.com/ccleaner/download
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). recommence tant qu'il y a des erreurs.

Sephiroth2007 · Answer

Bonjour,

J'ai fait la manip CCleaner : 36,..Mo et 0 erreur

(J'ai posté mon problème sur ton forum si ça t'arrange // J'ai fait un scandisck complet et sfc /scannow aussi)

Lyonnais92 · Answer

Bonjour,

je préfère rester ici.

Si tes derniers scans ont supprimé le bug, on attend pour voir.

Le gestionnaire des tâches fonctionne "normalement" ?

Le SP1 s'installerait-il ?

Sephiroth2007 · Answer

Comme tu veux, 

Le gestionnaire fonctionne correctement en temps normal.

Et non le Sp1 n'est pas installé ; impossible de l'installer à l'étape 3-100% il met échec et annule les modifications.

Toujours pas de bug (le bug vient vers 2h ou + d'utilisation, et en ce moment j'ai pas trop le temps donc je sais si le problème est réglé ou pas)

Lyonnais92 · Answer

Re,

donc on laisse tourner et on croise les doigts.

Sephiroth2007 · Answer

Bonjour,

Je vient aux nouvelles, mais elles sont mauvaises : toujours ce bug (survenu au bout de ~4/5h) ... et ça vient de ces 2 erreurs je pense :

Le démarrage d'un serveur DCOM : {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} n'est pas possible. L'erreur :
"5"
s'est produite lors du démarrage de la commande :
C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5
-------------------------------------------------------------------------------------------------------------------------------
Le démarrage d'un serveur DCOM : {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} n'est pas possible. L'erreur :
"5"
s'est produite lors du démarrage de la commande :
C:\Windows\system32\wbem\wmiprvse.exe -Embedding 

J'ai fait des recherches mais je ne comprend pas tout :

https://www.processlibrary.com/fr/search?q=wmiprvse
https://www.processlibrary.com/fr/search?q=dllhost
https://www.generation-nt.com/
https://support.microsoft.com/en-us/help/825750/how-to-disable-dcom-support-in-windows
http://www.commentcamarche.net/forum/affich 717176 probleme d erreur dcom
http://www.commentcamarche.net/contents/processus/wmiprvse exe.php3

=> Déjà c est quoi : -Embedding ?
=> Ensuite est ce que faire le scan sur Processlibrary.com est utile et sans risque ?
=> D'après ce que je comprend ça provient d'internet, enfin au processus d'échange ou un truc dans le genre (requête, ...) mais pourquoi pas des le debut mais plusieurs heures après le démarrage du PC 
=> Et si je contactais Microsoft, bien que le taux de réussite n'est pas convainquant  mais on sais jamais ...
=> Et si je remplaçais les .exe "défectueux"  ?
=> Je pense aussi au formatage mais c 'est pas vraiment formater, j'ai le CD constructeur donc c 'est pas réellement le CD Vista (Cd OME ou quelque chose comme ça)
=> Après je sèche ^^

Voilà je vais continuer de chercher de mon coté, si tu as une solution à proposé je suis preneur ;)

@+ et encore merci

Sephiroth2007 · Answer

J'ai rebugé, pendant ce bug j'ai essayé de faire un sfc /scannow mais impossible de lancer le truc ça me dit.

J'ai refait sfc /scannow en mode sans échec, et là ça marche et on me dit qu'il y a des erreurs, mais en allant voir le rapport je comprend pas :/ (il fait 37 Mo quand même)

Et je me demandais, cela peut être d'origine matérielle ??

Sephiroth2007 · Answer

J'ai essayé de mettre le SP1 (avec toutes les maj précédentes) sans succès, j'ai tenté 3 fois (tous ce passe bien jusqu'à l'étape 3, et à 100%, il annule les modif) ... j'ai eu le droit à cette erreur au démarrage : 0x800F082

jacques.gache · Answer

bonjour, essais d'installer le sp1 depuis ce lien https://www.commentcamarche.net/telecharger/utilitaires/24007-windows-vista-sp1/  j'ai perso eu des dificulté avec le sp2 de xp sur microsoft et par windows update et en le téléchargant depuis ccm il c'est installé sans problème

Sephiroth2007 · Answer

Bonjour,

Merci jacques.gache j'ai testé ta solution mais toujours le même résultat ...

Pour revenir a mon problème principale je pense vraiment que mon bug vient de cette erreur :
(Au passage elle à un peu changé : (depuis les maj ?) déjà elle est "seule" plus de Dllhost et il y a un -secured en plus maintenant)

C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding

Je m'obstine un peu avec mon erreur cela me parait être la seule cause, mais je ne trouve pas d'explication
Est-il possible que cela viennent du réseau wifi, depuis a peu prés le moment du bug (bien que je me souvienne plus du commencement)  j'utilise un "nouveau" réseau wifi (c'est pas la 1ere fois et je n'avais pas de bug), je verrai si cela revient à la normale, je vais bientôt revenir a mon ancien réseau.

Je vous tient au courant  @+

(ps: j'ai eu mon bug environ ~7h après le démarrage du pc, et sans l'utiliser "intensément")

Sephiroth2007 · Answer

Bonjour,

Même après avoir changer de réseau wifi toujours ce même problème.

Je sèche complètement la ...

Virus (ou pas), qui desactive le gestionnaire

38 réponses

Discussions similaires

Newsletters