Sujet Précédent Sujet Suivant

Virus dans le system 32

Résolu/Fermé
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014 - 24 juin 2010 à 15:15
 Itein - 24 juin 2010 à 21:19
Bonjour,

Depuis plus de deux mois, j'ai un virus dans C:/Windows/System32/drivers. Chaque fois que je fais un contrôle intégrale de mon système avec mon antivirus (Avira Antivir), ça me détecte ce virus (Cheval de Troie) dans le fichier, nommé : " mpzcd.sys ". Donc, à la fin de mon contrôle antivirus, ca me fait " Tout réparer " j'accepte, ensuite un message d'Avira vient, celui-ci dit : " Impossible de déplacer le fichier dans le répertoire de quarantaine !
Vous ne disposez probablement pas des droites nécessaires etc..."
Ensuite ca me demande ou de " Supprimer le fichier verrouillé après redémarrage" ou
" Ignorer " bon je choisis de supprimer. Ensuite ca me fait erreur : "Impossible de réparer le fichier pour sa suppression etc..." Et ensuite ca me demande de redémarrer et de refaire un contrôle. Mais le problème recommence en boucle. Alors j'ai demandé à mon frère (qui s'y connait assez bien) de m'aider, il a regarder dans son C:/Windows/System32/drivers pour regarder le fichier " mpzcd.sys ", mais rien il ne l'a pas et rien non plus sur internet sur ce fichier, donc il m'a conseillé de le supprimer, j'essaye ca me dit : " Vous ne disposez pas des droits etc..." et quand j'essaye une deuxième fois ca me dit : " Impossible de lire à partir du fichier ou de la disquette source".

Si quelqu'un aurait une solution pour que ce virus ne soit plus actif, j'en serai ravis =)

Merci d'avance

Itein
A voir également:

20 réponses

Réponse 1 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 15:19
Bonjour,

Rootkit sans doute caché .

Télécharge SEAF de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"

# Tape mpzcd dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "

# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.

Copie/Colle le rapport qui s'ouvrira dans ton prochain message

A+
2
Réponse 2 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 15:34
OK,

1/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe

2/ Copie le texte ci-dessous :

Drivers to disable:
mpzcd

Drivers to delete:
mpzcd

Files to delete:
C:\WINDOWS\System32\Drivers\mpzcd.sys

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPZCD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Enum\Root\LEGACY_MPZCD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD

Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.

* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

4/ The Avenger va automatiquement faire ce qui suit:

* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse

A+
2
Réponse 3 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 15:28
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 15:26:31 le 24/06/2010
4.
5. Valeur(s) recherchée(s):
6.
7. mpzcd
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\Windows\System32\drivers\mpzcd.sys" [ ----A---- | 823808 ]
15. TC: 19/05/2010,12:06:31 | TM: 24/06/2010,15:26:41 | DA: 24/06/2010,15:26:41
16. MD5: DENIED
17.
18.
19. =========================
20.
21. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
22.
23. Aucun dossier trouvé
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29.
30. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPZCD\0000]
31. "DeviceDesc"="mpzcd"
32.
33. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPZCD\0000]
34. "Service"="mpzcd"
35.
36. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPZCD\0000\Control]
37. "ActiveService"="mpzcd"
38.
39. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Enum\Root\LEGACY_MPZCD\0000]
40. "DeviceDesc"="mpzcd"
41.
42. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Enum\Root\LEGACY_MPZCD\0000]
43. "Service"="mpzcd"
44.
45. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD\0000]
46. "DeviceDesc"="mpzcd"
47.
48. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD\0000]
49. "Service"="mpzcd"
50.
51. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD\0000\Control]
52. "ActiveService"="mpzcd"
53.
54. =========================
55.
56. Fin à: 15:27:25 le 24/06/2010 ( E.O.F )
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 24/06/2010 à 15:45
Salut verni29:

"MD5: DENIED "

C'est normal, un rootkit ne se laisse pas analyser ;)
D'ailleurs même sur virus total tu ne pourra pas l'envoyer.

EDIT: Je viens de comprendre qu'en fait tu voulais ses clés de registre... j'ai rien dit ;)
0
Réponse 4 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 15:48
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "mpzcd" disabled successfully.
Driver "mpzcd" deleted successfully.
File "C:\WINDOWS\System32\Drivers\mpzcd.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MPZCD" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Enum\Root\LEGACY_MPZCD" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MPZCD" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


--------------------------

Juste après mon double redémarrage, mon Avira m'a alerté du virus dans C:/Avenger/mpzcd.sys
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
24 juin 2010 à 15:50
C'est normal, c'est la quarantaine de avenger
0
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 16:04
Salut, tigzy

Merci pour le passage et l'info à l'internaute.

@+
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
24 juin 2010 à 16:09
de rien, je vous laisse ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 15:52
Oki (Désolé pour le peu de texte^^) =)
0
Réponse 6 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 16:03
Itein,

Pour le rootkit, c'est OK.

On va passer un ou deux autres outils pour vérifier que le PC est propre.

----------------------------------------------------------------------------------------------

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
msconfig  
activex
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
0
Réponse 7 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 16:33
Itein,

rapports bien reçus via MP.

---------------------------------------------------------------------------------------------------

1/ Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL

O4 - HKU\S-1-5-21-1014355690-3021096309-2847298586-1000..\Run: [bxmjgt] c:\users\nathan\appdata\local\bxmjgt.exe File not found
[2010.06.05 19:30:04 | 000,000,000 | -H-D | C] -- C:\Windows\msdownld.tmp
[2009.08.14 18:13:54 | 000,004,663 | ---- | C] () -- C:\Windows\_delis32.ini

:Commands
[emptytemp]
[emptyflash]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

2/ Tu vas ensuite utiliser un logiciel que tu pourras garder : Malwarebytes
C'est un très bon complément à un antivirus quand tu veux vérifier si le PC est infecté.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.


A+
0
Réponse 8 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 17:32
Voilà pour le OTL :

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1014355690-3021096309-2847298586-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bxmjgt deleted successfully.
C:\Windows\msdownld.tmp folder moved successfully.
C:\Windows\_delis32.ini moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nathan
->Temp folder emptied: 1094609934 bytes
->Temporary Internet Files folder emptied: 974470 bytes
->Java cache emptied: 14459658 bytes
->FireFox cache emptied: 43733655 bytes
->Flash cache emptied: 79880 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 34512737 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1'133.00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Nathan
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0.00 mb


OTL by OldTimer - Version 3.2.7.0 log created on 06242010_163619

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Voilà pour le Malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4233

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

24.06.2010 17:26:05
mbam-log-2010-06-24 (17-26-05).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 195462
Temps écoulé: 38 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{dacaa788-dfd0-449c-9a79-9549ef9b26a1} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dacaa788-dfd0-449c-9a79-9549ef9b26a1} (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife\1.5.2.0 (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Nathan\Local Settings\Application Data\bxmjgt_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Nathan\Local Settings\Application Data\bxmjgt_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Nathan\Local Settings\Application Data\bxmjgt.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife\1.5.2.0\uninstall.exe (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds\1.5.2.0\uninstall.exe (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components\nsFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.


J'ai des éléments dans la quarantaine Malware je les laisse ou je les supprime ?
0
Réponse 9 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 17:37
Itein,

Tu peux les supprimer.

Malwarebytes a trouvé une infection navipromo.
Une infection qu'on attrape en installant certains logiciels.

Cette infection installe également des certificats.

Utilise navilog pour les nettoyer.

Télécharge Navilog d'il mafioso sur ton bureau.
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

· Double-clique sur le raccourci de navilog ( sur le bureau ).
Si sous Vista , clique droit sur le fichier et choisis exécuter en tant qu'administrateur
· Sélectionne la langue puis valide.
· Choisis l'option 1 ( ne choisit pas une autre option )

Le PC va redémarrer pour nettoyer l'infection.

Une fois l'analyse terminée, un rapport va s'ouvrir dans le bloc-notes.
Tu copies et colles le texte de ce rapport dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Cleannavi.txt.

A+
0
Réponse 10 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 17:52
Voilà :

Fix Navipromo version 4.0.9 commencé le 24.06.2010 17:45:12.08

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Pentium(R) Dual-Core CPU E5200 @ 2.50GHz )
BIOS : BIOS Date: 02/26/09 19:53:05 Ver: 08.00.15
USER : Nathan ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:293 Go (Free:143 Go)
D:\ (Local Disk) - NTFS - Total:293 Go (Free:292 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Windows\prefetch\GAMEOVERLAYUI.EXE-82DD85B2.pf supprimé !
C:\Users\Nathan\AppData\Local\qdwidnrb.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Nathan\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 24.06.2010 17:48:23.01 ***

Sinon à mon redémarrage ça me fait toujours des programmes ont été bloqué etc... que dois-je faire ? svp
0
Réponse 11 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 18:27
Re,

Tu peux m'indiquer précisément ce message.
Quels programmes ?

---------------------------------------------------------------------------

Une dernière analyse.
Lance ton antivirus et fais une analyse complète.

Poste le rapport obtenu.

A+
0
Réponse 12 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 18:43
Enfaite ca va j'ai régler le problème, sinon je te tiens au courant pour l'antivirus^^

Et aussi je peux supprimer maintenant les autres programmes ? (SEAF, Avenger, OTL et Navilog1)

Malware je le garde ca me servira après un contrôle avira normal.
0
Réponse 13 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 18:58
Tu peux désinstaller SEAF et Navilog via le panneau de configuration.
Attends pour OTL et Avenger. Je t'indiquerais les consignes.

On termine ensuite.

A+
0
Réponse 14 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 19:29
Voilà :



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 24 juin 2010 18:36

La recherche porte sur 2263470 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-NATHAN

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09.06.2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23.11.2009 20:20:23
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03.03.2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03.03.2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:20:23
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:20:23
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:32:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:28:35
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:33:27
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:37:32
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:10:06
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 18:10:06
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 18:10:06
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 18:10:06
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 18:10:06
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 18:10:06
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 18:10:06
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 10:21:26
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 15:02:24
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:33:03
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 17:36:16
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 17:36:35
VBASE018.VDF : 7.10.8.164 2048 Bytes 23.06.2010 17:36:35
VBASE019.VDF : 7.10.8.165 2048 Bytes 23.06.2010 17:36:35
VBASE020.VDF : 7.10.8.166 2048 Bytes 23.06.2010 17:36:35
VBASE021.VDF : 7.10.8.167 2048 Bytes 23.06.2010 17:36:35
VBASE022.VDF : 7.10.8.168 2048 Bytes 23.06.2010 17:36:35
VBASE023.VDF : 7.10.8.169 2048 Bytes 23.06.2010 17:36:36
VBASE024.VDF : 7.10.8.170 2048 Bytes 23.06.2010 17:36:36
VBASE025.VDF : 7.10.8.171 2048 Bytes 23.06.2010 17:36:36
VBASE026.VDF : 7.10.8.172 2048 Bytes 23.06.2010 17:36:36
VBASE027.VDF : 7.10.8.173 2048 Bytes 23.06.2010 17:36:36
VBASE028.VDF : 7.10.8.174 2048 Bytes 23.06.2010 17:36:36
VBASE029.VDF : 7.10.8.175 2048 Bytes 23.06.2010 17:36:36
VBASE030.VDF : 7.10.8.176 2048 Bytes 23.06.2010 17:36:37
VBASE031.VDF : 7.10.8.180 24576 Bytes 23.06.2010 17:36:38
Version du moteur : 8.2.4.2
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 20:51:46
AESCRIPT.DLL : 8.1.3.33 1356155 Bytes 23.06.2010 17:37:23
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:48:59
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 20:51:46
AERDL.DLL : 8.1.4.6 541043 Bytes 15.04.2010 18:39:06
AEPACK.DLL : 8.2.2.5 430453 Bytes 23.06.2010 17:37:14
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 18:48:59
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23.06.2010 17:37:09
AEHELP.DLL : 8.1.11.6 242038 Bytes 23.06.2010 17:36:46
AEGEN.DLL : 8.1.3.12 377204 Bytes 23.06.2010 17:36:43
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 20:51:45
AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 18:48:58
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 20:51:44
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.09.2009 18:11:50
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 19:40:56
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13.08.2009 16:31:41
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23.11.2009 20:20:22

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 24 juin 2010 18:36

La recherche d'objets cachés commence.
'93629' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WMIADAP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WN111v2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mscorsvw.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'55' processus ont été contrôlés avec '55' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '43' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>


Fin de la recherche : jeudi 24 juin 2010 19:23
Temps nécessaire: 46:56 Minute(s)

La recherche a été effectuée intégralement

21240 Les répertoires ont été contrôlés
305876 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
305873 Fichiers non infectés
2313 Les archives ont été contrôlées
3 Avertissements
2 Consignes
93629 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés


J'ai désinstaller Seaf, pour Navilog il y est pas dans le panneau, ni Avenger et OTL
0
Réponse 15 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 24/06/2010 à 19:46
Nickel,

1/ Mets à jour ton PC et en particulier java et Adobe.
De plus en plus, des infections véhiculent via le net et des pages web infectées.

desinstalle les versions suivantes de Java :
Java(TM) 6 Update 16

ainsi que

Adobe Reader 9.3.2 - Français

télécharge et installe la dernière version.

adobe : https://get2.adobe.com/fr/reader/otherversions/
Java : https://www.java.com/fr/download/

2/ On va enlever les outils utilisés.

Lance OTL et clique sur Purge Outils.

Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.


3/ utilise CCleaner pour faire un nettoyage.
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

-------------------------------------------------------------------------------------------

il faut recréer un point de restauration propre :

Dans le Panneau de configuration choisis l'affichage classique :
Système --> dans la liste des taches, à gauche, choisis propriétés du système
Décoche les disques durs sélectionnés.
Ceci va t'avertir que la restauration système va être désactivée. Accepte.


Dans la même fenêtre, resélectionner le disque c: puis choisis appliquer.
Clique ensuite sur créer pour la création d'un point de restauration.
Suis les invites.

-------------------------------------------------------------------------------------------

Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

------------------------------------------------------------------------------------------

Si tu as des questions, n'hésite pas à les poser.
peux-tu mettre le sujet en résolu ? Merci.

Sinon, bonne continuation, bon surf.

salut
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 16 / 20
Itein Messages postés 11 Date d'inscription jeudi 24 juin 2010 Statut Membre Dernière intervention 20 mai 2014
24 juin 2010 à 20:08
Hum, après que je double clique sur ToolsCleaner, je mets recherche puis ca bug et ca me met ne répond pas et ca bug....
0
Réponse 17 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 20:09
laisse tomber toolscleaner.
C'était pour enlever navilog.
Supprime le sur ton bureau.

A+
0
Réponse 18 / 20
Itein
24 juin 2010 à 21:08
Et pour Avenger et OTL je les supprime comme ca ?
0
Réponse 19 / 20
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
24 juin 2010 à 21:10
Pour les deux outils, Lance OTL et clique sur Purge Outils.
le PC va redémarrer.

A+
0
Réponse 20 / 20
Itein
24 juin 2010 à 21:19
Bon, c'est tout !

Mille merci pour cette aide efficace et rapide ! Merci verni29 !

Bonne soirée à toi et à tous !

Itein
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Supprimer un fichier ouvert dans systeme.
kakashiles -
yly -

12 réponses
System Fan (90B)
MaryMoumou -
G7 -

17 réponses
Ma messagerie est envahie de "mail delivery system"
noelotte -
Malekal_morte- -

2 réponses