FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[badcat77]

Alors j'ai des fenetres publiciataires qui viennent de chez adxtendmedia aussi bien avec IE que Firefox (je n'ai pas google chrome ), sur un peu n'importe quel site et celui ci aussi. (du style : vous avez gagnez une greencard, ou ebay la deteste, ;;.

Ce soir j'avais en nouveauté le message d'erreur "l'instruction 0X........... ne peut etre written..... "

Apres une mise a jours adobe player cela semble ne plus se produire


je lance un rapport et mets le lien.

[badcat77]

Donc voici le rapport
, en reprenant les parametres de ton message du 22 decembre


http://cjoint.com/?BLzxueXzZ0R

[dédétraqué]

Salut badcat77


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:dir
C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1 /s
C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168 /s
C:\Documents and Settings\All Users\Application Data\18472756 /s
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


-----


Télécharge RogueKiller (par tigzy) sur le bureau :
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

- Fermes les applications et programmes en cours.
- Double clique sur RogueKiller.exe pour lancer le programme
(Vista/Seven - Faire un clique droit sur RogueKiller.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme)
- Attendre que le Prescan ait fini ...
- Lance un scan afin de débloquer le bouton Suppression à droite.
- Clic sur Suppression.
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste le rapport
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@++

[badcat77]

Alors le rapport Systemlook :

SystemLook 30.07.11 by jpshortstuff
Log created at 09:59 on 26/12/2012 by renaud
Administrator - Elevation successful

========== dir ==========

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1 - Parameters: "/s"

---Files---
GEARDIFx.exe --a---- 1977816 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86 d------ [18:08 01/12/2012]
DIFxAPI.dll --a---- 323464 bytes [12:01 21/08/2012] [12:01 21/08/2012]
DifXInst32.exe --a---- 115672 bytes [12:01 21/08/2012] [12:01 21/08/2012]
DIFxInstallLog.txt --a---- 3982 bytes [18:08 01/12/2012] [18:08 01/12/2012]
GEARAspi.dll --a---- 106928 bytes [12:01 21/08/2012] [12:01 21/08/2012]
GEARAspiWDM.inf --a---- 2704 bytes [12:01 21/08/2012] [12:01 21/08/2012]
gearaspiwdmx86.cat --a---- 7587 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86\x86 d------ [18:08 01/12/2012]
GEARAspiWDM.sys --a---- 26840 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168 - Parameters: "/s"

---Files---
F5CFCDE4CA8168B40090F5CF3D7ED168 --a---- 2896 bytes [13:24 06/10/2012] [14:39 06/10/2012]
F5CFCDE4CA8168B40090F5CF3D7ED168.ico --a---- 4286 bytes [13:22 06/10/2012] [13:22 06/10/2012]

No folders found.

C:\Documents and Settings\All Users\Application Data\18472756 - Unable to find folder.

-= EOF =-


et les 2 rogue killers :

http://cjoint.com/?BLAkhUlp8aC

http://cjoint.com/?BLAkjvo5K3G

[dédétraqué]

Salut badcat77


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-

:OTL
[2012/03/21 00:03:20 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Documents and Settings\renaud\Application Data\Mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

:Files
C:\Documents and Settings\All Users\Application Data\18472756
C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----



Télécharge sur ton bureau TdssKiller de kaspersky , exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.
(Vista/Seven -- Faire un clique droit sur tdsskiller.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

[*] Exécute le , La fenêtre suivante va s'ouvrir :



[*] Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
[*] Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



[*] Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

[*] Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

[*] Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

[*] Si Suspicious file est indiqué, laisse l'option cochée sur Skip

[*] Clique sur Continue puis sur Reboot now pour redémarrer le PC.

[*] Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Tutoriel-- http://support.kaspersky.com/viruses/so ... =208280684


@++

[badcat77]

Voici le rapport OTL

http://cjoint.com/?BLAxRzpllXF

[badcat77]

2 rapports TDSS avec plusieur sous dossier

- rtkt0000 :

[InfectedObject]
Verdict: Virus.Win32.Rloader.a

[InfectedObject]
Type: Service
Name: ACPI
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\DRIVERS\ACPI.sys
Suspicious states: Forged file;

[InfectedFile]
Type: Raw image
Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
md5: 72AA1E958055F1844A81C2B09C7038CC

[InfectedFile]
Type: Api image
Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
md5: E5E6DBFC41EA8AAD005CB9A57A96B43B


- et rtkt0001 :

[InfectedObject]
Verdict: Rootkit.Win32.TDSS.tdl3

[InfectedObject]
Type: Service
Name: VolSnap
Type: Kernel driver (0x1)
Start: Boot (0x0)
Suspicious states: Forged file;

[InfectedFile]
Type: Raw image
Src: C:\WINDOWS\system32\drivers\VolSnap.sys
md5: 4D39B6FBF65832F9AE75D8157694AFB0

[InfectedFile]
Type: Api image
Src: C:\WINDOWS\system32\drivers\VolSnap.sys
md5: 46DE1126684369BACE4849E4FC8C43CA


Désolé j'ai eu un peu de mal avec tdss ;-)

[dédétraqué]

Salut badcat77


OK cela est bon pour OTL, la correction a bien fonctionner cette fois-ci...

Deux fichiers systèmes ont été détectés comme infecté par TdssKiller, a t-il présenté la fonction Cure pour désinfecté les fichiers?

Tu as bien posté ce rapport : C:\TDSSKiller.Version_Date_Heure_log.txt

Sinon essai de nouveau, le rapport ressemble a cela :
http://forum.zebulon.fr/findpost-t187362-p1568724.html

As-tu encore de la pub?


@++

[badcat77]

Bon alors desole je pense que le bon rapport est celui-ci
(les autres étaient dans C:\TDSSKiller_Quarantine)

http://cjoint.com/?BLBkOqOxc3g

Pour le moment plus de pub ;-)))) +1+11+1+1+1+

[dédétraqué]

Salut badcat77


Good cela est bon, on va quand même vérifier si les fichiers ont bien été désinfectés...

Faire un scan de ce fichier ACPI.sys ici :

http://www.virustotal.com/fr/


[*]Clique sur Choose file
[*]Une nouvelle fenêtre va s'ouvrir, dans cette fenêtre dans le bas ou c'est marqué Nom de fichier tu copie/colle ceci :
C:\WINDOWS\system32\DRIVERS\ACPI.sys

[*]Après tu clique sur Ouvrir et sur Scan it! et attendre le résultat de l’analyse.
[*]Si il te dit que le fichier a déjà été analysé, sélectionne le bouton Reanalyse.

Attendre le résultat de l'analyse, poste le lien de la page quand le scan du fichier sera terminer.

Après fais une analyse de ce fichier également :
C:\WINDOWS\system32\drivers\VolSnap.sys


@++ 

[badcat77]

1 er scan :

https://www.virustotal.com/file/a02a0ed ... 356621515/

2 em scan

https://www.virustotal.com/file/7d7b9b9 ... 356621612/

Voila

[dédétraqué]

Salut badcat77


OK cela est bon, as-tu d'autre souci?

Sinon on passe a la conclusion...


@++

[badcat77]

C'est parfait un grand MEERRCCCIIII



Tout semble règler.

Cela venait de quoi ? Bizzard qu'avira est laissé passé ?

[dédétraqué]

Salut badcat77


Bien de rien

Cela venais d'un Rootkit(ZeroAccess) caché dans la corbeille découvert par RogueKiller.
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$7deefbb7e5bd9ba55bdcd357a6dcaae4\@ -- TROUVÉ

Il avais patché(infecté) deux fichiers systèmes, c'est pour cela que tu avais de la pub même si les autres rapports montrais ton PC propre.


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/fr ... /26-delfix

[*]Double-clique sur l'icône delfix.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

[*]Sélectionne Suppression

[*]Copie/colle le contenu du rapport dans ton prochain message.

Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )


@++

[badcat77]

Ok voici le rapport :

# DelFix v9.2 - Rapport créé le 27/12/2012 à 23:07:56
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : renaud - FAMILLE
# Exécuté depuis : C:\Documents and Settings\renaud\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\MyHosts
Supprimé : C:\ZHP
Supprimé : C:\TDSSKiller_Quarantine
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\renaud\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[R5].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\AdwCleaner[S5].txt
Supprimé : C:\MyHosts.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.49.25_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.50.14_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.54.42_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_27.12.2012_00.04.43_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_27.12.2012_00.04.51_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_26.12.2012_23.50.00_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_27.12.2012_00.05.08_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_27.12.2012_00.05.37_log.txt
Supprimé : C:\WinUpdateFix.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

- Prefetch Vidé

*************************

DelFix[S1].txt - [1951 octets] - [27/12/2012 23:07:56]

########## EOF - C:\DelFix[S1].txt - [2075 octets] ##########

[dédétraqué]

Salut badcat77


OK relance l'outil et clique sur désinstaller...

Je te donne quelques consignes de sécurité :

Windows Update parfaitement à jour http://www.windowsupdate.com/
Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considère ton problème comme résolu, procédure pour le mettre :
http://www.forum-entraide-informatique. ... -en-resolu

Bonne journée/soirée et bon surf


@++

[badcat77]

Bon je n'arrive pas a desinstaller delfix ?

Les mises a jours windows se font maintenant alors qu'avant elles bloquaient .


Entout cas un grand merci pour l'aide trouver sur ce forum, et un egrand merci a Dédétraqué .

Super forum que je vais pouvoir parcourir tranquillement maintenant que mon pc fonctionne bien .

[dédétraqué]

Salut badcat77


Bien de rien

Que ce passe t-il avec DelFix, as-tu un message d'erreur?


@++

[badcat77]

Salut dédétraqué, non pas de message d'erreur tout va bien , il me demande de confirmer la desinstallation je clic, la fenetre se ferme, et delfix toujours là ?

[dédétraqué]

Salut badcat77


Fais un clique droit sur DelFix et supprimer dans la liste, même chose avec le rapport.


@++

[badcat77]

Slt,

Je viens de reagir que j'ai un disque dur externe de sauvegarde (mp3, video, programme, excel, word, enfin de tous ). Que je ne branche que de temsp en temps.

Y a t il une manip a faire lorsque je le rebranche des fois que clui-ci soit infecté ou que la cause du probleme vienne de lui ?

[dédétraqué]

Salut badcat77


Non aucun souci pour ton DD externe, l'infection que tu avais ne ce propage pas par les périphériques amovibles et de toute façon cela aurais été indiqué dans le rapport OTL ou ZphDiag.

Tu peux toujours procéder a une Vaccination pour le protéger contre l'infection qui ce propage via les disques amovibles.
http://forums-fec.be/entraide/viewtopic.php?f=55t=9


@++

[badcat77]

Ok merci pour ces infos .

a +

[badcat77]

Bon ben impossible d'installer usb fix, l'installation se passe bien, puis qu'en je lance usbfix celui-ci m'envoie sur une page avec erreur 4040 page non trouver " ?

[dédétraqué]

Salut badcat77


Tu as ce message quand tu lance la vaccination?


@++

[badcat77]

Bonjour, désolé pour le temps de réponse :-(,

J'ai ce message lorsque je lance delfix.

Mais ce n'est pas grave le principal est que mon Pc re fonctionne beaucoup mieux qu'avant.


Merci et bonne année 2013 ******

[dédétraqué]

Salut badcat77


Bonne année 2013 pour toi également.


J'ai ce message lorsque je lance delfix.Ce n'est pas avec UsbFix?


@++

[badcat77]

Si si c est bien usbfix, erreur de ma part ....

[dédétraqué]

Salut badcat77


puis qu'en je lance usbfix celui-ci m'envoie sur une page avec erreur 4040 page non trouver " ?Tu as ce message quand tu lance la vaccination?


@++

[badcat77]

Juste quand je clic sur usbfix pour l'ouvrir

[dédé1]

Salut badcat77


Voir a le télécharger de nouveau...


@++