Win 7 reboot - Ainslot.A et spyhunter [Résolu/Fermé]

Signaler
-
Malekal_morte-
Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
-
Bonjour,

En espérant merci à vous pour le temps que vous y passerez en esperant fortement trouver de l'aide !

Avant tout ma config :
Intel Core i5 2500K
Cooler Master GX Power - 650W
OCZ Vertex 2 3,5" 120 Go
Western Digital Caviar Black SATA Revision 3.0 - 1 To - 64 Mo
Gigabyte GA-P67A-UD3-B3 (Révision B3) et BIOS F5
Sapphire Radeon(TM) HD 5830 1Go Xtreme
G.Skill Kit Extreme3 2 x 4 Go PC10600 Ripjaws X CAS7
Microsoft Windows 7 Familial Premium 64 bits - (oem) 1

Ensuite pour la tite histoire, gros probleme sur cette machine, dés l'achat, de freezes intempestifs. Deux retour SAV et toujours le même souci ( seulement des réinstallations de Windows de leur part).
Suite à cela, prise de contact avec Gigabyte et et G.Skill, et sur conseil des deux mises à jours du BIOS et surtout passage du voltage de la RAM en 1.6V (malgré contre indication du SAV considerant que cela ferait sauter ma garantie car overclocking car certification 1.5V // Gigabyte et G.skill ne considerent pas cela comme overclocking, vive les SAV...)qui là a résolu le souci car depuis plus de freezes !

Maintenant, récement j'ai chopé le ver Ainslot.A, je ne sais pas trop comment.
WSE le trouvait à chaque démarrage.
et WSE n'arrivant pas à le supprimer j'ai tenté plusieurs solution en recherchant sur le net.
Entre autres, j'ai tenté avec AVAST en vain.
Malware antymalware non plus.
et priori j'ai tenté avec spy hunter et combofix et là depuis plus de message de WSE le trouvant.
Malheureusement pour moi, depuis ce même jour mes problèmes de freezes ont réapparu et plus souvent surtout un reboot sans raison (sans screenblue)...

J'ai cherché sur le net, et à priori Spyhunter aurait été une très mauvaise idée(?)
J'ai désinstallé mais toujours reboot.

Mise à niveau Win 7 à partir du CD , toujours pareil.

Aujourd'hui j'ai également supprimer le dossier correspondant qui n'avais pas été supprimé. et après cela j'ai également lancé Roguekiller.

Pas de reboot pour le momment, mais au cas où j'aimerai votre avis et prendre les devant pour nettoyer correctement ce PC..

Merci d'avance pour votre aide !

13 réponses

Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
19008
Salut,

Maintenant, récement j'ai chopé le ver Ainslot.A, je ne sais pas trop comment.

C'est des Rats
Par des cracks ou des liens de serveurs de fichiers (még*upl*ad etc).

=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Poste le rapport RogueKiller.
merci pour l'info !

RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Florian [Droits d'admin]
Mode: Suppression -- Date : 09/01/2012 18:52:20

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 3c0f184701ad4147425a4e2685388a5d
[BSP] 14424d73ef6dec67de998254b8bc98d2 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 115030 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] d7805ebdb91d1a5645725a4abdd33e71
[BSP] 959f85dcd7ff8616044df474fdc6306c : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 770072 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1504049184 | Size: 99055 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1697517888 | Size: 131070 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt


Ce rapp o rt ayant été effectué après suppression manuelle du dossier spy hunter et désinstallation .
et relance à l'instant de MAMB , 0 menaces detectees.
Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
19008
bonne nouvelle si MBAM trouve rien :)

Pour voir :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Voici :

http://pjjoint.malekal.com/files.php?id=20120109_v7s15y97u15
Et les liens, si ca marche, direct vers les rapports générés via ton site :

http://pjjoint.malekal.com/files.php?read=20120109_v7s15y97u15&html=on&filtre=legitime

http://pjjoint.malekal.com/files.php?read=20120109_v7s15y97u15&html=on
Pardon, j'ai oublié le fichier extra aussi :

http://pjjoint.malekal.com/files.php?id=20120109_x12w10h9w10l15
Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
19008
C'est OK, à part ta page de recherche sur Firefox qui est sur babylon.

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Passe le mot à tes amis !
Pour les mises à jours c'est ok, mais pour le coup je pense qu'actuellement elles ne l'etaient pas suite à une restauration à une date antérieure durant le week-end infructueuse car problème toujours présent hier...

Concernant mon problème de reboot intempestif/freeze , revenu du jour au lendemain, cela peut-il effectivement venir de là?

Je vous tiens au courant en fin de journée s'ils sont réapparus de toute facon..

Encore merci !

De plus, après suppression de babylon via adwcleaner, voici mes nouveaux rapports OTL :
extra : http://pjjoint.malekal.com/files.php?id=20120110_t139n15p13b14

otl : http://pjjoint.malekal.com/files.php?id=20120110_d9l7d7q7m6

Donc sauf erreur de ma part, seules lignes rouge sont Kiea, logiciel pour mon téléphone, donc c'est bon pas besoin de faire correction?
Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
19008
Si c'est reboot intempestif.
J'entends Windows se ferme pas mais reboot direct.

C'est un prb matériel.
windows demarre sans souci.

c est vraiment en utilisation (internet, word, video) ou au repos, sans raison il freeze ou carrement redemarre... et de facon aleatoire.

je vous tiens au courant ce soir si cela se sera produit aujourdhui ou non.

en esperant que ce nettoyage aura resolu ce probleme.

encore merci
Malekal_morte-
Messages postés
174059
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 janvier 2020
19008
Prb matériel je pense.
a 16h freeze de l ' os sans raison car au repos...
Rebonjour,

Comme dit plutot de nouveau freeze de l'OS a 16h, sans raison apparente, au repos.

Suite à deux trois recherches j'ai trouvé cela :
http://answers.microsoft.com/fr-fr/windows/forum/windows_7-hardware/redemarrage-de-windows-probleme-materiel-ou/856dcc23-0843-4641-853d-34c99f9eae29?page=2

J'ai donc tenté actuellement cette solution, désinstallé MSE (via panneau de config, mais s'il y a une manip autre à faire plus propre je suis preneur...) et installé AVAST 6.

Je vous tiens au courant, et suis ouvert à toute manipulation pour trouver d'où vient le souci.
bonsoir,

en attendant un delai plus long sans freeze, suite a desinstallation de MSE pour le moment no freeze...), dois je mettre mon sujet en resolu et le transferer dans la section windows pour avis?
Bonjour....

toujours mon souci de freeze..

je signale ce sujet comme résolu car le virus Ainslot.A est effectivement supprimé et je réouvre un sujet sur windows pour ce souci..

Encore merci pour l'aide !

bonen soirée