Attaque en règle par 3 visiteurs !

[invite728b013d]

Re,

Oui c'était toujours le même : C:\Windows\winsxs\...\iexplore .exe

Marc.
-----

[invite42302d4e]

Ok, possible que ce fichier soit patché et qu'il cache un rootkit,

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmen uinternet|command /rs
hklm\software\clients\startmen uinternet|command /64 /rs
NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
iexplore.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Copie et colle les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[invite728b013d]

Re,

OTL a planté à la 6ème ligne : %SYSTEMEDRIVE%\*exe

Cela confirme ton idée ?

Marc.

[invite42302d4e]

hum, je vien d em'apperçevoir que le fait de mettre le script en balise "quote" m'a ajouter des espaces

je vais te le mettre en "code" et si malgré tout cela ne passe pas, on utilisera OTLPE...

Relance OTL avec le clic-droit "exécuter en tant qu'administrateur" et colle ce script, puis clique sur "Analyse"

Code:

nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%APPDATA%\*.
%APPDATA%\*.exe /s
netsvcs
/md5start
iexplore.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

[invite728b013d]

Re,

En fait, il est bloqué sur :
C:\Windows\winsxs\x86_microsof t-windows-ie-internetexplorer_31bf3856ad364 e35_

[invite42302d4e]

est-ce que le nom exact du dossier est..

Code:

x86_microsoft-windows-ieinstal.resources_31bf3856ad364e35_8.0.7600.16385_fr-fr_130ffa73d6391111

Si il n'apparait pas complet , recherche le dans "C:\Windows\winsxs\" pour être sure

[invite728b013d]

Ça c'est une excellente question : en allant chercher dans C:\Windows\winsxs..., je trouve 44 éléments dont le nom commence par ce que je t'ai indiqué plus haut.

Quand au nom que tu suggères, tout ce que je trouve, c'est : x86_microsoft-ieinstal.resources_31bf3856ad3 64e35_6.0.6000.16386_fr-fr_f6489b1d00f8724f

[invite42302d4e]

OK, est-ce que tu peux déplacer (couper/coller) ce dossier sur une clef USB et débrancher la clef USB du PC...

Ensuite retente le scan OTL

[invite728b013d]

Celui qui s'appelle "ressources", c'est ça ?

[invite728b013d]

Bon, j'ai tenté de couper/coller, mais une petite fenêtre s'ouvre :
"Accès au dossier refusé" : vous devez disposer d'une autorisation pour effecteur cette action.

[invite42302d4e]

re,

c'est ce dossier qu'il faut "couper/coller" sur l'USB
x86_microsoft-ieinstal.resources_31bf3856ad3 64e35_6.0.6000.16386_fr-fr_f6489b1d00f8724f

[invite728b013d]

Re,

C'est bien celui que je viens d'essayer de déplacer, mais ça ne marche pas...

[invite42302d4e]

Bon ben on va passer par OTLPE alors, pas trop le chois, le dossier doit être hooker pas Avast...

Pour te faciliter la chose, copie cette citation dans un document.txt que tu créeras à la racine de ton disque système (c:\nouveaux document.txt) que tu renommera en fix.txt pour le retrouver plus facilement.
(pour renommer le fichier tu fais un clic-droit dessus et tu choisis "renommer", tu change le nom en Fix.txt)

Code:

C:\Windows\winsxs\*.* /s
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%APPDATA%\*.
%APPDATA%\*.exe /s
netsvcs
/md5start
iexplore.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

Ré-ouvre le fichier Fix.txt afin d'être sûr que le texte se trouve bien à l'intérieure !

Redémarre ton PC avec le CD d'OTLPE et une fois que tout est bien charger, relance OTLPE comme hier et colle le contenu du fichier Fix.txt dans la fenêtre "custom scan/fix" d'OTLPE .

Cette fois-ci clique sur "RUNFIX"

Laisse le scan se faire tranquillement, une fois que le rapport apparait, sauvegarde le sous le nom que tu désire afin de le retrouver plus facilement tout à l'heure , ferme OTLPE et redémarre ton PC en mode normal.

[invite728b013d]

Re,

C'est Chatplin. Le scan n'a pas duré 2 secondes, j'ai recommencé et il n'a pas duré 2 secondes. J'ai tenté de redémarré le PC (j'en suis au troisième essai) : impossible de me connecter à un réseau, ouverture encore plus longue que dernièrement.

Tout ce que j'ai pu lire dans le rapport avant de redémarrer le PC, c'est que OTLPE n'a rien pu faire.

Je laisse tomber pour ce soir, mais je ne lâche pas l'affaire, zut !

Merci beaucoup pour ton aide, Jeanmimigab (c'est plus que de l'aide, en fait) et à demain (si tu es toujours partant) pour de nouvelles aventures.

Bonne soirée/nuit.

Cordialement,

Chatplin

[invite42302d4e]

coucou,

Attention à mon avis tu as fais OTL en mode normal, ce scanne est a faire en utilisant le LiveCD d'OTLPE que tu as gravé.
Normalement ça devrait passer sans problème...

@++

[invite728b013d]

Bonsoir, c'est Chatplin !

Je viens de retenter, je suis bien passée par le CD live d'OTLPE. J'obtiens toujours le même résultat : le PC a beaucoup de mal à démarrer. Pour l'instant je ne peux pas poster le résultat, puisque le PC ne répond pas... Je patiente, ça va venir.

[invitef508124f]

Youpi ! Il a redémarré. Voici le "rapport" de fin de scan (qui n'a pas duré 2 secondes) :

[invite42302d4e]

Bonsoir,

Désolé mais tu vas m'en vouloir

Je me suis tromper, je t'ai dis de cliquer sur "RunFix" et en fait il fallait cliquer sur "RunScan"

est-ce que tu peux recommencer la manipulation mais en cliquant sur "RunScan" stp...

Désolé pour la manipulation supplémentaire !

[invitef508124f]

Re,

Pas de problème (c'est plutôt rassurant de lire que je n'ai pas fait de fausse manip'). Une bonne nouvelle n'arrivant jamais sans mauvaise, impossible de poster le rapport. Pas glop.

Je retente avec le profil de Papa

[invite728b013d]

Bonjour à toutes et à tous,

Chatplin ne peut pas envoyer le rapport, je l'ai récupéré et zippé.

Amitiés, Marc.

[invite42302d4e]

hello,

waou, ça c'est du log

copie cette citation dans un document.txt que tu créeras à la racine de ton disque système (c:\nouveaux document.txt) que tu renommera en fix2.txt pour le retrouver plus facilement.
(pour renommer le fichier tu fais un clic-droit dessus et tu choisis "renommer", tu change le nom en Fix2.txt)

Code:

:OTL
IE - HKU\nicoqueys_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1      
FF - prefs.js..extensions.enabledItems: crazyloader@spointer.com:3.4.1545.153      
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
[2 C:\Users\nicoqueys\AppData\Local\*.tmp files -> C:\Users\nicoqueys\AppData\Local\*.tmp -> ]      

:files
C:\Windows\System32\acovcnt.exe

Ré-ouvre le fichier Fix2.txt afin d'être sûr que le texte se trouve bien à l'intérieure !

Ensuite redémarre avec le CD d'OTLPE et une fois sous environnement liveCD cliques sur l'icône "Computer" (en haut à gauche du bureau) et recherche le dossier
c:\Windows\winsxs\x86_microsoft-windows-ieinstal.resources_31bf3856ad3 64e35_8.0.7600.16385_fr-fr_130ffa73d6391111
et si il est présent tu le copie sur une clef USB afin d'en avoir une sauvegarde et tu le supprime du PC (clic-droit dessus et "delete" )



Ensuite relance OTLPE comme hier et colle le contenu du fichier Fix2.txt dans la fenêtre "custom scan/fix" d'OTLPE .

Cette fois-ci clique sur "RUNFIX" (je ne me trompe pas cette fois-ci)

Laisse le scanne se faire tranquillement, une fois que le rapport apparait, sauvegarde le sous le nom que tu désire afin de le retrouver plus facilement tout à l'heure , ferme OTLPE et redémarre ton PC en mode normal.

ensuite dis moi comment se comporte le pc...

@++

[invite728b013d]

Re,

Je trouve un dossier qui s'appelle :
c:\Windows\winsxs\x86_microsoft-windows-ieinstal.resources_31bf3856ad3 64e35_6.0.6000.16386_fr-fr_6489b1d00f874f

Est-ce que ça te va ??

[invite42302d4e]

Hello,

non, ce n'est pas celui-là, mais apparemment il n'a plus l'air l'air d'être sur le PC ( le dossier que tu m'avais indiqué ) car il n'apparaissait pas dans le rapport OTL.

Si il n'est plus là, t'en mieux car c'est lui qui bloquait le scanne Avast...

Lance le script OTL stp et poste le rapport

[invitef508124f]

Le comportement du PC : 22 minutes pour s'ouvrir^^

Voici le rapport :

[invite42302d4e]

hummm, 22 minutes ça craint...

En démarrant en mode sans échec, est-ce que c'est plus rapide ?

[invite728b013d]

Voui, c'est plus rapide : 2 minutes, mais pas de réseau

[invite42302d4e]

peux-tu faire un clic-droit sur l'icône du disque c:\ et choisir "propriétés" , à l'onglet "outils" cliques sur "vérifications des erreurs".
Dans la petite fenêtre qui s'ouvre, coches "réparer automatiquement les erreurs...." et "rechercher et tenter une récupération....", puis redémarre le pc pour que le Checkdisk se lance.

Une fois le contrôle achevé, le pc va redémarrer....

Redémarre le une nouvelle fois en mode normal et dit moi si c'est mieux !

[invite728b013d]

Je le fais tant que je suis en mode sans échec ou dois-je redémarrer en mode normal ?

Désolée de poser des questions évidentes

[invite42302d4e]

pas de soucis, tu peux le faire en mode sans échec, ça ne change rien car cela va planifier le contrôle au prochain démarrage

[invitef508124f]

Bonjour à tous,

Impossible de venir à bout du scan : il s'est arrêté à 63% hier soir, et ce matin aussi.

Retors, le PC...