Virus ou fausse alerte

[baliar33]

Bonjour,

J'ai un gros problème avec mon micro depuis cet après-midi.

En effet tout d'un coup j'ai eu plein de messages qui ce sont inscrits sur mon écran.

Le message est le suivant:
"Windows - Delayed Write Failed
Failed to save all the components for the file\\System32\\0000390c. The file is corrupted or unreadable. This error be caused by a PC hardware problem
Cancel Try again Continue"

J'ai relancé mon antivirus mais rien.

J'ai géalement une icône avec:
"Files indexation process failed
Indexation process failure may cause:
* File may became unreadable
* File and documents can be lost
* Operation System may slow down dramatically

To prevent possible damage to this PC follow the recommendations.

Recommendations:
It's highly recommended to run file integrity checker now and resolve this issue.
Resolve this issue"

J'ai également une icône System Restore qui s'est ouverte avec en bas à droite Fix Errors et à gauche:
My Computer: 4 errors detected
System Drive: 4 errors detected
RAM Memory: 3 errors detected
System Registry: 3 errors detected

A titre d'info je suis sur Windows XP et mon aintivirus est Avira Antivir Personal.

Merci de votre aide car je ne suis pas tranquille ...
-----

[invitec04351b8]

Bonsoir,

tu es infecté par un rogue (un faux logiciel de sécurité).

Tu faisais quoi à ce moment là ?

===
Avec Internet Explorer - Télécharge ça : http://www.sur-la-toile.com/RogueKiller/
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[baliar33]

Re,

Merci bien pour toutes ces infos.
Je fais cela demain matin et vous tiens au courant.

Bonne soirée.

[baliar33]

Bonjour,
Je viens de télécharger RogueKiller.
En option 2 j'ai "Suppression"et pas (nettoyage).
Est-ce la bonne option ?
Merci.

[A voir en vidéo sur Futura]

[baliar33]

Par ailleurs vous indiquez: "Tu le renommes en winlogon ou iexplore s'il est bloqué".
Faut-il que je le renomme en winlogon ou iexplore s'il est bloqué ou faut-il que je le renomme en winlogon et si ce dernier est bloqué, que je le renomme en iexplore ?
Merci.

[baliar33]

J'ai finalement choisi l'option 2.

Le rapport est le suivant:

################

Merci.

[yoda1234]

Il manque deux rapports:
-Celui de Malware Byte's Antimalware.
-Celui de ZHPDiag.
Tout est détaillé dans le post #2 de Lyonnais92.
Pour des raisons évidentes de confidentialité, tu dois poster tous tes rapports en pièces jointes. J'ai rectifié ta mauvaise manipulation de ton message #8

[baliar33]

Re,
J'ai déjà Malware d'installé sur mon PC.
Cependant je n'ai plus d'icône sur mon bureau et ne peux y accéder.
J'ai donc voulu le réinstaller.
Dans l'étape "Installation - Malwarebytes' Anti-Malware" j'ai le message suivant:

"Installation
x Accès refusé"

Je clic sur ok et il met:

"L'installation n'est pas terminée.
Veuillez corriger le problème et relancer l'installation".

Que me conseillez-vous de faire ?

Merci.

[baliar33]

Finalement j'ai désinstallé puis réinstallé et ca marche.
J'ai lancé Malware et vous communiquerai le rapport.
Cdlt.

[baliar33]

Re,
Ci-joints les rapports de Malware.
Cdlt.

Re,
Ci-joint le fichier sauvegardé (ZHPDiag.txt).
J'attends vos instructions et encore merci de vos aides.
Cdlt.

[invitec04351b8]

Bonsoir,


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

O42 - Logiciel: Favorit (edjzyf) - (.Pas de propriétaire.) [HKLM] -- edjzyf
O47 - AAKE:Key Export DP - "C:\Documents and Settings\ft\Local Settings\Temp\I1151479875\Windows\install.exe" [Disabled] .(...) -- C:\Documents and Settings\ft\Local Settings\Temp\I1151479875\Windows\install.exe (.not file.)
O47 - AAKE:Key Export DP - "C:\WINDOWS\Temp\~os5.tmp\rlvknlg.exe" [Enabled] .(...) -- C:\WINDOWS\Temp\~os5.tmp\rlvknlg.exe (.not file.)
O47 - AAKE:Key Export DP - "c:\program files\relevantknowledge\rlvknlg.exe" [Enabled] .(...) -- c:\program files\relevantknowledge\rlvknlg.exe (.not file.)
O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\FT\Local Settings\Application Data\edjzyf_nav.dat
O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\FT\Local Settings\Application Data\edjzyf_navps.dat
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Live-Player]
O53 - SMSR:HKLM\...\startupreg\edjzyf  [Key] . (.scamp - disciplinal.) -- c:\documents and settings\ft\local settings\application data\edjzyf.exe
O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\FT\Local Settings\Application Data\edjzyf.dat
O59 - HSMI:Heuristic Search MagicControl Infection - (.scamp - disciplinal.) -- C:\Documents and Settings\FT\Local Settings\Application Data\edjzyf.exe
[MD5.41306FAA2490B01BCCF0035712E5AA15] [SPRF][06/04/2011] (.scamp - disciplinal.) -- C:\Documents and Settings\ft\Local Settings\Application Data\edjzyf.exe   [678400]
O47 - AAKE:Key Export SP - "G:\fscommand\CKSocketServer.exe" [Enabled] .(...) -- G:\fscommand\CKSocketServer.exe (.not file.)
O47 - AAKE:Key Export DP - "C:\Program Files\el\monoposte\common\bd_service\bin\mysqld-opt.exe" [Disabled] .(...) -- C:\Program Files\el\monoposte\common\bd_service\bin\mysqld-opt.exe (.not file.)
O47 - AAKE:Key Export DP - "C:\WINDOWS\Temp\~os15.tmp\rlvknlg.exe" [Enabled] .(...) -- C:\WINDOWS\Temp\~os15.tmp\rlvknlg.exe (.not file.)
O47 - AAKE:Key Export DP - "C:\WINDOWS\Temp\~os2.tmp\rlvknlg.exe" [Enabled] .(...) -- C:\WINDOWS\Temp\~os2.tmp\rlvknlg.exe (.not file.)
O47 - AAKE:Key Export DP - "G:\fscommand\CKSocketServer.exe" [Enabled] .(...) -- G:\fscommand\CKSocketServer.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\NAV CfgWiz  [Key] . (...) -- C:\PROGRA~1\NORTON~1\Cfgwiz.exe (.not file.)
[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}]
[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}]
[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

C'est normal de trouver une référence à cab-lencou-phare ?

@+

[baliar33]

Re,
Je ne serais sur mon ordinateur que mercredi ayant la chance de faire le pont.
Je vous souhaite un bon week-end et vous tiens au courant mercredi matin.
Cdlt.

[invitec04351b8]

Re,

alors à mercredi.

@+

[baliar33]

Bonjour,

Ci-joint le rapport d'exécution:

###########################
Dans l'attente de vos directives.

[yoda1234]

Dans cette phrase:

Pour des raisons évidentes de confidentialité, tu dois poster tous tes rapports en pièces jointes. J'ai rectifié ta mauvaise manipulation de ton message #8

Quels sont les mots que tu ne comprends pas?? La prochaine fois, j'efface ton rapport sans autre préavis.

[baliar33]

Milles excuses.
Je ferai attention la prochaine fois.
Cdlt.

[invitec04351b8]

Bonjour,

2 questions sont restées sans réponses.

@+

[baliar33]

Bonjour,

Pour ce qui est de la référence à cab-lencou-phare, il s'agit de l'entité sur laquelle j'étais en réseau précédemment.

Je ne vois pas de seconde question.

Pourriez-vous me la réindiquer que je vous réponde ?

Merci.

[invitec04351b8]

Re,

je demandais ce que tu faisais au moment du problème.

Tu utilises encore ce réseau ou on peut supprimer ?

@+

[baliar33]

Re,

Je ne me souviens plus quelle tâche je faisais au moment du problème.

Par ailleurs, je n'utilise plus ce réseau et donc on peut le supprimer si cela n'a pas trop d'incidence.

Merci.

[invitec04351b8]

Re,

on va supprimer ce réseau.

Tu as toujours le souci de départ où tout est résolu ?

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport (en pièce jointe).

@+

[baliar33]

Re,

Les icônes qui apparaissaient n'ont pas réapparues.

Par contre je n'ai plus mon bureau avec mes icônes comme avant le problème.
Est-ce normal ?

Ci-joint le rapport (en pièce jointe).

Merci?

[invitec04351b8]

Re,

je te suggère de désinstaller Spybot S&D dont l'efficacité a beaucoup baissé.


===

Relance ZHPFix avec ces lignes :

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8D451B2D-2A42-45A4-9EF5-19A91DBDE86E}: Domain = cab-lencou-phare.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{8D451B2D-2A42-45A4-9EF5-19A91DBDE86E}: Domain = cab-lencou-phare.fr
O17 - HKLM\System\CS3\Services\Tcpip\..\{8D451B2D-2A42-45A4-9EF5-19A91DBDE86E}: Domain = cab-lencou-phare.fr
EmptyTemp
HiddenFix

Tu posteras le rapport.

===

Il faut mettre à jour ta console java (faille de sécurité) :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

Il faut aussi que tu mettes à jour OpenOffice (sauf si tu as des problèmes de compatibilité avec la nouvelle version).

===

Une clé de registre dont je voudrais voir le contenu :

Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKCU\Software\UnPas2Bank.exe

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.

Pour accéder au registre :
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.

@+

[baliar33]

Re,

J'ai supprimé Spybot.

J'ai relancé ZHPFi avec les lignes mais cela ne semble pas "tourner".
Quand je vais dans Gestionnaire de tâches j'ai deux lignes Copyrights avec l'état pas de réponse.

Je vais mettre à jour Java mais à quoi cela sert-il en fait ce logiciel ?

Pour Open, je ne m'en sert pas.
Pensez-vous que je le supprime ou je le mets quand même à jour ?

Je continues le reste.

Cdlt.

[baliar33]

A titre de complément quand je redémarre mon ordinateur, j'ai le message suivant (je n'ai pu le mettre en pièce jointe):

[.ShellClassinfo]
LocalizedResourceName=@%System Root%\system32\shell32.dll,-21787

Cdlt.

[baliar33]

Ci joint le rapport JavaRa.log

-----

En quoi consiste d'ouvrir le registre ?
Où puis-je trouver cela ?

Merci.

[baliar33]

Suite fichier précédent qui n'est pas passé semble-t-il.

[baliar33]

Les icônes sont revenues.
Par contre quand je vais sous Démarrer, Tous les programmes et que j'en choisi un par hasard (Microsoft Office), il m'indique (vide) et ce quel que soit le programme.
Pourtant j'ai bien accès à Excel par exemple...
Savez-vous de quoi cela vient-il ?
Merci.

[baliar33]

Autant pour moi pour le registre.
Vous m'aviez indiqué le chemin parfaitement.

Ci joint le fichier:

Merci.

[baliar33]

Avec le fichier c'est mieux.
Cdlt.