Après Infection par wmicvr, ordi marche mal [Résolu]

Bonjour,

Merci pour votre réponse !

J'ai téléchargé ZHPDiag, je l'ai ensuite copié sur le bureau, mais rien ne se passe lorsque je clique sur l'icone. Une fenêtre noire s'entre-ouvre une fraction de seconde, puis plus rien.
J'ai essayé de le lancer par une fenêtre DOS (Executer "cmd", puis en inscrivant le chemin jusqu'au Bureau, et "zhpdiag_1.26.36.exe"), et là un message apparaît, m'indiquant "programme trop grand pour tenir en mémoire".

Comment faire ?

Voici le lien Cijoint.fr où tu trouveras le rapport de ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijF3AaCFx.txt

J'ai fait ce que tu m'as demandé, et voici le rapport de ZHPFix :


Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre :
Run by camille at 19/08/2010 17:55:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\wmicvr.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\system32\wmicvr.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export DP - "C:\WINDOWS\system32\wmicvr.exe" [Enabled] .(.) (.not file.) -- C:\WINDOWS\system32\wmicvr.exe => Valeur supprimée avec succès


========== Récapitulatif ==========
2 : Valeur(s) du Registre


End of the scan

1) En ce qui concerne le pc, le Mode sans Echec reste toujours inaccessible (toujours l'écran bleu et retour au menu de démarrage). :-(

2) Quant à Malwarebytes, je l'avais effectivement installé, mais impossible de faire une mise à jour, ça plantait. Je l'ai donc désinstallé avec Revouninstaller. Après un redémarrage de l'ordinateur, j'ai ensuite réinstallé Malwarebytes. Mais toujours le même problème, il ne veut pas faire de mises à jour. Voici le message d'erreur de Malwarebytes lorsque je lance une mise à jour :

"Une erreur s'est produite. Veuillez transmettre ce code d'erreur à notre équipe de support. MBAM_ERROR_UPDATING (122,0,MultiBytesToWideChar). La zone de données passée à un appel système est insuffisante."

Aurais-tu une idée là-dessus ?

Je vais lancer une analyse avec List&Kill'Em.
En attendant, voici le rapport Malwarebytes, apparemment rien à signaler :




Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4449

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/08/2010 20:50:16
mbam-log-2010-08-19 (20-50-16).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 166877
Temps écoulé: 36 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Voici, comme tu me l'as demandé, l'adresse du rapport de List&Kill'Em. Il est à noter qu'il m'a fallu le relancer, car pendant son analyse, l'ordinateur a redémarré tout seul ( ? ) :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijjGZ6tvJ.txt

Salut,

1) Voici le 2ème rapport de List&Kill'Em (avec l'option Clean) comme tu me l'as demandé :


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.3.1 ¤¤¤¤¤¤¤¤¤¤

User : camille (Administrateurs)
Update on 19/08/2010 by g3n-h@ckm@n ::::: 21.10
Start at: 18:34:32 | 20/08/2010

Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Trend Micro Internet Security 17.50.1647 [ (!) Disabled | Updated ]
FW : Pare-feu personnel Trend Micro[ Enabled ]5.8

C:\ -> Disque fixe local | 72,06 Go (50,22 Go free) | NTFS
D:\ -> Disque fixe local | 72,05 Go (69,51 Go free) | NTFS


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----412 Ko
C:\WINDOWS\system32\csrss.exe ----3520 Ko
C:\WINDOWS\system32\winlogon.exe ----3596 Ko
C:\WINDOWS\system32\services.exe ----3544 Ko
C:\WINDOWS\system32\lsass.exe ----6280 Ko
C:\WINDOWS\system32\svchost.exe ----4920 Ko
C:\WINDOWS\system32\svchost.exe ----4272 Ko
C:\WINDOWS\System32\svchost.exe ----19504 Ko
C:\WINDOWS\system32\logonui.exe ----2052 Ko
C:\WINDOWS\system32\svchost.exe ----5404 Ko
C:\WINDOWS\system32\svchost.exe ----3016 Ko
C:\WINDOWS\system32\spoolsv.exe ----5392 Ko
C:\WINDOWS\system32\svchost.exe ----3772 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----3992 Ko
C:\WINDOWS\Explorer.EXE ----18964 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----5516 Ko
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe ----6244 Ko
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe ----16032 Ko
C:\Program Files\Google\Update\GoogleUpdate.exe ----5516 Ko
C:\WINDOWS\system32\svchost.exe ----4168 Ko
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe ----3944 Ko
C:\WINDOWS\system32\wuauclt.exe ----6804 Ko
C:\WINDOWS\System32\alg.exe ----3608 Ko
C:\WINDOWS\system32\cmd.exe ----1896 Ko
C:\WINDOWS\system32\wbem\wmiapsrv.exe ----4612 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----4980 Ko
C:\WINDOWS\system32\wscntfy.exe ----2272 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6808 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3288 Ko
C:\Program Files\List_Kill'em\pv.exe ----2744 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\WINDOWS\DCEBoot.exe

Quarantined & Deleted !! : C:\WINDOWS\System32\service
Quarantined & Deleted !! : C:\WINDOWS\Temp\scs66.tmp
Quarantined & Deleted !! : C:\Documents and Settings\camille\Application Data\wklnhst.dat
Quarantined & Deleted !! : C:\Documents and Settings\camille\Local Settings\Temporary Internet Files\SuggestedSites.dat

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.google.com/
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

2) Le nettoyage avec CCleaner a été fait, Système et Base de Registre.

3) Je relance ZHPDiag et je te colle le rapport tout à l'heure dès qu'il a terminé.

J'ai uploadé le log de ZHPDiag sur cijoint.fr car il est un peu long, tu le trouveras à l'adresse suivante :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijbTSnz9l.txt

Bon, si le rapport ZHPDiag est pas mal, c'est plutôt une bonne nouvelle ! :-)
Sinon, voici le rapport ZHPFix comme demandé, je m'occupe ensuite de Kaspersky online :

Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-20-43-59.txt
Run by camille at 20/08/2010 20:43:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès


========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre


End of the scan

Salut,

Kaspersky online n'a rien trouvé, aucun vius, rien. En revanche, il a été très long à s'installer et encore plus à scanner tout l'ordinateur (3 heures au total !), du coup, hier soir, je suis allé me coucher et je l'ai laissé tourner toute la nuit. N'y a-t-il pas un risque en sachant que l'antivirus Trend Micro était désactivé ?

Bref, j'ai pu faire une mise à jour de MalwareBytes, cette fois cela a fonctionné en désactivant l'antivirus et le parefeu ! Donc je viens de relancer un scan avec MalwareBytes pour être sûr qu'il n'y ai rien qui soit passé entre temps.

Sinon, toujours un écran bleu au démarrage en mode sans echec. :-(
D'où cela peut-il bien venir ? Car apparemment il n'y a plus de traces de virus d'après tous les logs qu'on a fait...

J'ai un CD de restauration qui était fourni avec l'eeePC. Celui-ci peut-il faire l'affaire ?

Cette fois ça marche !
Tout à l'air de bien fonctionner maintenant.

Une dernière chose, le pc rame pas mal, il avait tendance à gratter du disque dur en permanence, j'ai donc viré le swap tout à l'heure. Il gratte presque plus, et ralentit un petit peu moins.

J'aimerais donc avoir ton sentiment sur une chose : je me demandais si je n'allais pas essayer ZNSoft optimizer, mais j'ai lu sur internet que bien qu'il semble plutôt efficace pour optimiser/accélérer Windows, chez certains il avait tendance à avoir l'effet contraire. Donc j'hésite. Qu'en penses-tu ?
(si y'a des risques, je me contenterai de la vitesse actuelle, car de toute façon ce pc sert quasiment que pour aller sur internet)

Salut,

Okay pour le soucis de ralentissement, je suivrai tes conseils, merci.
Sinon, j'ai suivit tes indications, voici le rapport de ToolsCleaner :




[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Corbeille vidée!

Voilà, c'est fait. :-)

En tout cas, vraiment, un gros merci ! Tu m'as bien dépanné, je tacherai d'être plus vigilant à l'avenir.

Bonne journée, et encore merci !
Frederic & Camille