Ecran noir

[myoper]

< MD5 for: TDPIPE.SYS >
[2008/01/19 02:01:07 | 000,017,920 | ---- | M] (Microsoft Corporation) MD5=5DCF5E267BE67A1AE926F2DF77 FBCC56 -- C:\Windows\System32\drivers\td pipe.sys
[2008/01/19 02:01:07 | 000,017,920 | ---- | M] (Microsoft Corporation) MD5=5DCF5E267BE67A1AE926F2DF77 FBCC56 -- C:\Windows\winsxs\x86_microsof t-windows-t..es-transportdrivers_31bf3856ad364 e35_6.0.6001.18000_none_dbac37 6c44b742d7\tdpipe.sys
[2006/11/02 05:02:01 | 000,017,920 | ---- | M] (Microsoft Corporation) MD5=964248AEF49C31FA6A93201A73 FFAF50 -- C:\Windows\winsxs\x86_microsof t-windows-t..es-transportdrivers_31bf3856ad364 e35_6.0.6000.16386_none_d97575 7047cc3203\tdpipe.sys

< MD5 for: TDTCP.SYS >
[2008/01/19 02:01:08 | 000,029,184 | ---- | M] (Microsoft Corporation) MD5=389C63E32B3CEFED425B61ED92 D3F021 -- C:\Windows\System32\drivers\td tcp.sys
[2008/01/19 02:01:08 | 000,029,184 | ---- | M] (Microsoft Corporation) MD5=389C63E32B3CEFED425B61ED92 D3F021 -- C:\Windows\winsxs\x86_microsof t-windows-t..es-transportdrivers_31bf3856ad364 e35_6.0.6001.18000_none_dbac37 6c44b742d7\tdtcp.sys
[2006/11/02 05:02:01 | 000,028,672 | ---- | M] (Microsoft Corporation) MD5=7D2C1AE1648A60FCE4AA0F7982 E419D3 -- C:\Windows\winsxs\x86_microsof t-windows-t..es-transportdrivers_31bf3856ad364 e35_6.0.6000.16386_none_d97575 7047cc3203\tdtcp.sys

< MD5 for: USBPRINT.SYS >
[2006/11/02 05:14:58 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=B51E52ACF758BE00EF3A58EA45 2FE360 -- C:\Windows\System32\DriverStor e\FileRepository\usbprint.inf_ 35521f61\usbprint.sys
[2008/01/19 02:14:40 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=E75C4B5269091D15A2E7DC0B6D 35F2F5 -- C:\Windows\System32\drivers\us bprint.sys
[2008/01/19 02:14:40 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=E75C4B5269091D15A2E7DC0B6D 35F2F5 -- C:\Windows\System32\DriverStor e\FileRepository\usbprint.inf_ 29f90369\usbprint.sys
[2008/01/19 02:14:40 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=E75C4B5269091D15A2E7DC0B6D 35F2F5 -- C:\Windows\winsxs\x86_usbprint .inf_31bf3856ad364e35_6.0.6001 .18000_none_32f9c26ac169fb1e\u sbprint.sys

< MD5 for: USBSCAN.SYS >
[2008/01/19 02:14:09 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=A508C9BD8724980512136B039B BA65E9 -- C:\Windows\System32\DriverStor e\FileRepository\sti.inf_0bb72 b9f\usbscan.sys
[2008/01/19 02:14:09 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=A508C9BD8724980512136B039B BA65E9 -- C:\Windows\System32\DriverStor e\FileRepository\sti.inf_67b3f 94c\usbscan.sys
[2008/01/19 02:14:09 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=A508C9BD8724980512136B039B BA65E9 -- C:\Windows\winsxs\x86_sti.inf_ 31bf3856ad364e35_6.0.6001.1800 0_none_59ded168e0c6a0d3\usbsca n.sys
[2008/01/19 02:14:09 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=A508C9BD8724980512136B039B BA65E9 -- C:\Windows\winsxs\x86_sti.inf_ 31bf3856ad364e35_6.0.6002.1800 5_none_5bca4a74dde86c1f\usbsca n.sys
[2006/11/02 05:14:17 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=B1F95285C08DDFE00C0B955462 637EC7 -- C:\Windows\System32\DriverStor e\FileRepository\sti.inf_72790 5e0\usbscan.sys

< MD5 for: USERINIT.EXE >
[2008/01/19 03:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6 FBCBF9 -- C:\Windows\System32\userinit.e xe
[2008/01/19 03:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6 FBCBF9 -- C:\Windows\winsxs\x86_microsof t-windows-userinit_31bf3856ad364e35_6.0. 6001.18000_none_dc28ba15d1aff8 0b\userinit.exe
[2006/11/02 05:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FB DE3D11 -- C:\Windows\winsxs\x86_microsof t-windows-userinit_31bf3856ad364e35_6.0. 6000.16386_none_d9f1f819d4c4e7 37\userinit.exe

< MD5 for: VOLSNAP.SYS >
[2006/11/02 05:51:18 | 000,208,488 | ---- | M] (Microsoft Corporation) MD5=11EF6C1CAEF76B685233450A12 6125D6 -- C:\Windows\System32\DriverStor e\FileRepository\volume.inf_93 20b452\volsnap.sys
[2009/04/11 02:32:55 | 000,226,280 | ---- | M] (Microsoft Corporation) MD5=147281C01FCB1DF9252DE2A10D 5E7093 -- C:\Windows\System32\drivers\vo lsnap.sys
[2009/04/11 02:32:55 | 000,226,280 | ---- | M] (Microsoft Corporation) MD5=147281C01FCB1DF9252DE2A10D 5E7093 -- C:\Windows\System32\DriverStor e\FileRepository\volume.inf_1e 6030e4\volsnap.sys
[2009/04/11 02:32:55 | 000,226,280 | ---- | M] (Microsoft Corporation) MD5=147281C01FCB1DF9252DE2A10D 5E7093 -- C:\Windows\winsxs\x86_volume.i nf_31bf3856ad364e35_6.0.6002.1 8005_none_17a2308cf936c619\vol snap.sys
[2008/05/21 18:47:35 | 000,211,000 | ---- | M] (Microsoft Corporation) MD5=327639D2EC931B057F3826A51A DC73E9 -- C:\Windows\winsxs\x86_volume.i nf_31bf3856ad364e35_6.0.6000.2 0709_none_146318401803edb5\vol snap.sys
[2008/05/21 18:47:35 | 000,211,000 | ---- | M] (Microsoft Corporation) MD5=80DC0C9BCB579ED9815001A4D3 7CBFD5 -- C:\Windows\System32\DriverStor e\FileRepository\volume.inf_f4 7b2c78\volsnap.sys
[2008/05/21 18:47:35 | 000,211,000 | ---- | M] (Microsoft Corporation) MD5=80DC0C9BCB579ED9815001A4D3 7CBFD5 -- C:\Windows\winsxs\x86_volume.i nf_31bf3856ad364e35_6.0.6000.1 6586_none_137ff950ff29e447\vol snap.sys
[2008/01/19 03:42:48 | 000,227,896 | ---- | M] (Microsoft Corporation) MD5=D8B4A53DD2769F226B3EB37437 4987C9 -- C:\Windows\System32\DriverStor e\FileRepository\volume.inf_f5 3a1785\volsnap.sys
[2008/01/19 03:42:48 | 000,227,896 | ---- | M] (Microsoft Corporation) MD5=D8B4A53DD2769F226B3EB37437 4987C9 -- C:\Windows\winsxs\x86_volume.i nf_31bf3856ad364e35_6.0.6001.1 8000_none_15b6b780fc14facd\vol snap.sys

< MD5 for: WINLOGON.EXE >
[2009/04/11 02:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264 D55452 -- C:\Windows\System32\winlogon.e xe
[2009/04/11 02:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264 D55452 -- C:\Windows\winsxs\x86_microsof t-windows-winlogon_31bf3856ad364e35_6.0. 6002.18005_none_71ae7a22d21347 41\winlogon.exe
[2006/11/02 05:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA3 50BAAD -- C:\Windows\winsxs\x86_microsof t-windows-winlogon_31bf3856ad364e35_6.0. 6000.16386_none_6d8c3f1ad8066b 21\winlogon.exe
[2008/01/19 03:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B9 65CB24 -- C:\Windows\winsxs\x86_microsof t-windows-winlogon_31bf3856ad364e35_6.0. 6001.18000_none_6fc30116d4f17b f5\winlogon.exe

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2009/04/11 02:28:19 | 000,142,336 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\fontext.dl l
[2011/01/21 12:35:22 | 011,586,048 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\shell32.dl l

< %systemroot%\Tasks\*.job /lockedfiles >

========== Files - Unicode (All) ==========
[2010/01/29 12:50:54 | 000,000,000 | ---D | M](C:\Program Files\????? black) -- C:\Program Files\ニクキュー black
[2010/01/29 12:50:54 | 000,000,000 | ---D | M](C:\Program Files\????? black) -- C:\Program Files\ニクキュー black
(C:\Program Files\????? black) -- C:\Program Files\ニクキュー black
< End of report >
-----

[invite42302d4e]

Bonjour myoper,

le rapport comporte beaucoup d'erreurs qui se crées durant la validation du message...

peux-tu le mettre sur cijoint et me communiquer le lien de téléchargement stp...
http://www.cijoint.fr/

@++

[myoper]

voili voilou :
http://www.cijoint.fr/cjlink.php?fil...cijm6VRcsM.txt

La pièce jointe n'est pas conservée à l'identique ?

[myoper]

Il y a un truc qui est peut être encore possible, en tous cas "prévu pour" à l'origine mais que je ne suis pas arrivé a mettre en œuvre, c'est la réinstallation a partir de la partition "recoverig".
A priori pour l'installer, il me demande d'identifier un autre utilisateur qui a tous les droits mais ceux qui sont 'inscrit" ne sont pas reconnus.

[myoper]

Bizarrement, en essayant de rebooter sur un DVD de réinstallation que je croyais du Dell mais qui était de mon Sony, le Dell me propose de réparer le système puis redémarre simplement ...
Tout semble "normal" mais vu les inquiétants signes qu'il a présenté, je ne suis pas contre un diagnostic (a défaut d'une réinstallation "d'usine").

[invite42302d4e]

hello,

il y a de l'infection à la pelle, et explorer.exe qui est patché

Sauvegarde le contenu qui est en code ci-dessous dans un fichier.txt que tu nommeras fix.txt soit sur le pc soit sur une clef USB

Code:

:OTL
SRV - [2011/05/20 17:28:49 | 000,033,792 | ---- | M] (Qjdygrk Software) [Auto] -- C:\Windows\TEMP\cuit\setup.exe -- (AMService)      
SRV - [2011/05/20 15:33:09 | 000,813,568 | ---- | M] () [Auto] -- C:\Windows\System32\tafwyfiw.dll -- (monzidjv)      
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com  
IE - HKU\Mamounette_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com  
IE - HKU\Mamounette_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1      
IE - HKU\Mamounette_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)     
IE - HKU\Tétardon_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=4bc00a3a-4aee-4933-9d85-116b36e7d050&lcid=1036&ref=homepage    
IE - HKU\Tétardon_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1   
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"      
FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="    
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"  
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:2.7.1.3     
FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.0.0.10   
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="    => Macrogaming SweetIm  
[2010/12/13 15:59:56 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Users\Mamounette\AppData\Roaming\Mozilla\Firefox\Profiles\9w46bf1v.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}    
[2011/01/01 12:51:29 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Mamounette\AppData\Roaming\Mozilla\Firefox\Profiles\9w46bf1v.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}    
[2011/01/01 12:51:20 | 000,003,915 | ---- | M] () -- C:\Users\Mamounette\AppData\Roaming\Mozilla\Firefox\Profiles\9w46bf1v.default\searchplugins\sweetim.xml      
O2 - BHO: (VMN Toolbar) - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Program Files\vmntoolbar\vmntoolbar.dll (Visicom Media Inc.)  
O2 - BHO: () - {B715CB04-F0D1-1E19-8CD9-A9D12EBEBE59} - C:\Windows\System32\tafwyfiw.dll ()      
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)    
O3 - HKLM\..\Toolbar: (VMN Toolbar) - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Program Files\vmntoolbar\vmntoolbar.dll (Visicom Media Inc.)      
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)    
O3 - HKU\Mamounette_ON_C\..\Toolbar\WebBrowser: (VMN Toolbar) - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Program Files\vmntoolbar\vmntoolbar.dll (Visicom Media Inc.)    
O3 - HKU\Mamounette_ON_C\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)   
O3 - HKU\Tétardon_ON_C\..\Toolbar\WebBrowser: (no name) - {346DE098-61F9-4B42-89DA-6DFBA7091BB6} - No CLSID value found.
O4 - HKLM..\Run: [installer] C:\Program Files\Installer\lnetworker.exe ()    
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)    
O4 - HKU\Mamounette_ON_C..\Run: [EA Core]  File not found
O4 - HKU\Mamounette_ON_C..\Run: [ISUSPM Startup]  File not found
O4 - HKU\Tétardon_ON_C..\Run: [msnmsgr]  File not found
O4 - HKU\Mamounette_ON_C..\RunOnce: [Iminent.Notifier Install] C:\Users\Mamounette\AppData\Local\Temp\NotifierSetup.exe (Iminent)                                                                                       O4 - Startup: C:\Users\Mamounette\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk 
O20 - Winlogon\Notify\memegon: DllName - C:\Windows\system32\config\systemprofile\AppData\Local\memegon.dll - C:\Windows\System32\config\systemprofile\AppData\Local\memegon.dll ()      
O33 - MountPoints2\{64fa6ddf-06cb-11e0-a620-001fe1f13847}\Shell\AutoRun\command - "" = AUTORUN\S-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe      
O33 - MountPoints2\{64fa6ddf-06cb-11e0-a620-001fe1f13847}\Shell\open\command - "" = AUTORUN\S-1-6-21-2434476501-1644491937-600003330-1213\autorun.exe      
O33 - MountPoints2\{d842aec1-2cfc-11dd-a10d-001fe1f13847}\Shell - "" = AutoRun      
O33 - MountPoints2\{d842aec1-2cfc-11dd-a10d-001fe1f13847}\Shell\AutoRun\command - "" = G:\SETUP.EXE    => Existe aussi en malware DELF-CA.Troj  
O33 - MountPoints2\{d842aec1-2cfc-11dd-a10d-001fe1f13847}\Shell\configure\command - "" = G:\SETUP.EXE    => Existe aussi en malware DELF-CA.Troj  
O33 - MountPoints2\{d842aec1-2cfc-11dd-a10d-001fe1f13847}\Shell\install\command - "" = G:\SETUP.EXE    => Existe aussi en malware DELF-CA.Troj  
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
NetSvcs: monzidjv - C:\Windows\System32\tafwyfiw.dll ()      
ActiveX: {E9190C91-EE1B-2167-7955-525F04B8AA3A} - Browser Customizations      
[2010/01/29 12:50:54 | 000,000,000 | ---D | M](C:\Program Files\????? black) -- C:\Program Files\????? black
[2010/01/29 12:50:54 | 000,000,000 | ---D | M](C:\Program Files\????? black) -- C:\Program Files\????? black
(C:\Program Files\????? black) -- C:\Program Files\????? black

:Files
C:\Windows\explorer.exe|C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe /replace     
C:\ProgramData\SweetIM    
C:\Windows\System32\btwhidcs.dll      
C:\Windows\System32\HdmiCoin.dll      
C:\Windows\System32\igklg400.dll      
C:\Windows\System32\igklg450.dll      
C:\Windows\System32\igfxCoIn_v1409.dll 
C:\Windows\System32\igmedcompkrn.dll      
C:\Windows\System32\jnptvyqp.dat      
C:\Windows\System32\nckbemms.dat      
C:\Windows\System32\xymeifaq.dat      
C:\Windows\System32\Utils.dll    
C:\Users\Mamounette\AppData\Local\bxthur_nav.dat     
C:\Users\Mamounette\AppData\Local\bxthur_navps.dat      
C:\Users\Mamounette\AppData\Local\bxthur.dat      
C:\Users\Mamounette\AppData\Local\ekqgv.bat      
C:\Users\Mamounette\AppData\Local\crgvkfv.bat      
C:\Users\Mamounette\AppData\Local\vckzyh_nav.dat   
C:\Windows\vx86036.dat      
C:\Users\Mamounette\AppData\Local\hrbugy.bat      
C:\Users\Mamounette\AppData\Local\pbtehhk.bat      
C:\Users\Mamounette\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
C:\Users\Mamounette\AppData\Local\Temp\NotifierSetup.exe
C:\Program Files\Installer\lnetworker.exe 
C:\Program Files\SweetIM
C:\Program Files\vmntoolbar
C:\Windows\TEMP\cuit   
C:\Windows\System32\tafwyfiw.dll    
C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll 
C:\Users\Mamounette\AppData\Roaming\Mozilla\Firefox\Profiles\9w46bf1v.default\searchplugins\sweetim.xml      
C:\Users\Mamounette\AppData\Roaming\Mozilla\Firefox\Profiles\9w46bf1v.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\Program Files\vmntoolbar\vmntoolbar.dll)   

:Commands
[emptytemp] 
[EMPTYFLASH] 
[RESETHOSTS]

redémarre avec le liveCD et relance OTLPE comme tu l'as fais pour le scanne
un fois cela fait, ouvre fix.txt et colle son contenu dans la fenêtre d'OTLPE (custom scan/fix)

et cette fois ci clique sur "runfix"

sauvegarde le rapport du fix, essaais de redémarrer en mode normal si possible et poste le rapport dans ta prochaine réponse stp...et fais moi un point sur le comportement du PC

@++

[myoper]

hello,

il y a de l'infection à la pelle, et explorer.exe qui est patché

Il va murir ?!?

Ça roule et merci.

[myoper]

Comme la dernière fois, je mets l'adresse de son dépôt :

http://www.cijoint.fr/cjlink.php?fil...cijAcevJpl.txt

Et je le joint ...

[invite42302d4e]

coucou,

tu m'as envoyer le même rapport que l'autre jour
le rapport runfix se trouve dans le dossier c:\_OTL\Movedfiles\date_heure du fix.txt

[myoper]

ups (je recommence) :
http://www.cijoint.fr/cjlink.php?fil...cijrYu2PTL.txt

Comme le rapport était en ".log" et que l'hébergement refuse cette extension, j'ai fait un copier coller dans un autre document bloc notes.

[invite42302d4e]

hello,

Fais cela dans l'ordre stp..

Télécharge UnHide.exe (de grinler) sur ton bureau et exécute-le en faisant un clic-droit dessus et "Exécuter en tant qu'administrateur".
Laisse-le travailler tranquillement jusqu’à l'ouverture d'une petite fenêtre t'indiquant que tes fichiers sont à nouveau visible

ensuite...
Télécharge TDSSKiller (Kapersky Lab) sur ton bureau en allant sur cette page web
http://support.kaspersky.com/fr/faq/?qid=208280685
Dezzipe le et fais un double-clic dessus pour l'exécuter et si une détection apparait après le scanne,suis les instructions et autorise le redémarrage du pc
/!\ ne change pas l'action proposé par TDSSKiller en fin de scanne (skip, quarantine, cure ) /!\
Poste le rapport "C:\TDSSKiller_Quarantine\DATE _HEURE"

et enfin...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

Code:

NetSvcs        
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
volsnap.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[myoper]

Pendant que je fais toussa, je précise que si le système est "reparti", le double clic ne marche plus (il faut cliquer droit et faire "explorer").

[invite42302d4e]

peux-tu me faire un point précis de la situation ?

As-tu récupérer:
> Ton menu démarrer ?
> Ta barre des taches ?
> Tes documents ?

indiques moi précisément les dysfonctionnements qui persistent et surtout poste les rapports demandés

[myoper]

J'ai le menu démarrer, la barre des tâches et "mes documents".
Le double clic ne fonctionne pas.


Il y a une boite de dialogue qui me dit qu'un message veut s'afficher sur le bureau et si j'ai le malheur de l'autoriser, il m'ouvre une tripotée de fenêtres de pubs que je dois fermer une à une entrecoupées" de boites de dialogues (la dernière proposait de revenir ou ré-afficher le bureau).
Le PC est bien ralenti et l'écran devient noir entre temps (le temps de passer à ces fenêtres puis revenir au bureau).

TDSS killer vient de partir ...

[myoper]

Le rapport TDSSKiller :
http://www.cijoint.fr/cjlink.php?fil...cijEfKHZhJ.txt

OTL tourne ...

[myoper]

Voici la suite (en passant quand je mets la clé USB, le visionneur de photos se lance et si je fais glisser les fenêtres vers le bas, elles recouvrent la barre des tâches) :
http://www.cijoint.fr/cjlink.php?fil...cijBSb9IgK.txt
http://www.cijoint.fr/cjlink.php?fil...cijkOgRNoG.txt

[invite42302d4e]

hello,

On continu !

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

Code:

:OTL
PRC - C:\Windows\Temp\Asm.exe ()      
PRC - C:\Windows\Temp\Asl.exe ()      
PRC - C:\Windows\Temp\Ask.exe ()      
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="    
O4 - HKU\.DEFAULT\..\Run: [Metropolis] C:\Windows\System32\sshnas21.dll (Simon Tatham)    
O4 - HKU\.DEFAULT\..\Run: [SNJQ66R8MU] C:\Windows\Temp\Asl.exe ()      
O4 - HKU\PC-DE-TETARDON_Tétardon\..\Run: [DellSupportCenter] C:\Program Files\Dell Support Center\bin\sprtcmd.exe (SupportSoft, Inc.)    
O4 - HKU\S-1-5-18\..\Run: [Metropolis] C:\Windows\System32\sshnas21.dll (Simon Tatham)  
O4 - HKU\S-1-5-18\..\Run: [SNJQ66R8MU] C:\Windows\Temp\Asl.exe ()
[2011/05/24 01:31:15 | 000,000,252 | -H-- | M] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job   
[2011/05/24 01:21:45 | 000,000,252 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job   
[2011/05/24 01:21:42 | 000,000,252 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010/01/29 18:50:54 | 000,000,000 | ---D | M](C:\Program Files\????? black) -- C:\Program Files\????? black      

:Files
C:\Windows\Temp\Asm.exe      
C:\Windows\Temp\Asl.exe      
C:\Windows\Temp\Ask.exe 
C:\USERS\MAMOUNETTE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9W46BF1V.DEFAULT\EXTENSIONS\{7B13EC3E-999A-4B70-B9CB-2617B8323822}      
C:\USERS\MAMOUNETTE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9W46BF1V.DEFAULT\EXTENSIONS\{EEE6C361-6118-11DC-9C72-001320C79847}   
C:\Windows\System32\sshnas21.dll 
C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job  
C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job  
C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job 
C:\Users\Mamounette\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe    
C:\Program Files\????? black       
c:\windows\temp\udna
     
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{52EC45EC-A5F3-4BBF-9B6E-1FD7BB53F14A}"=-
"{8BB081D5-6EB3-49E1-9012-B14A183AA523}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]  
"{1D301950-EA2F-4882-9AA0-49467756842A}"=-
"{5394185F-07D9-3D5A-7E1E-E28E8453AD70}"=-
"{A6CC2CA2-2779-4F10-88BF-A3C9EB874C24}"=-
"com.adobe.example.black-air.33F3E6561FD70FA6448B8285FAB78DF55D7D7ED2.1"=-
"installer"=-
"pbtehhk"=-

:Commands
[emptytemp] 
[EMPTYFLASH]

/!\ fermes impérativement "Firefox" et "Internet Explorer" avant de continuer /!\

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir
* Copie et colle le rapports dans ta réponse stp...

Ensuite fais la mise à jour de malwarebyte et scanne le PC pour me poster aussi ce rapport stp...

Ensuite refais moi un point précis de la situation stp...

[myoper]

Comme c'est un .log, je le copie en fichier texte enregistré en unicode : http://www.cijoint.fr/cjlink.php?fil...cijloR6x8N.txt
Le log est en PJ.

Sinon, le double clic remarche mais il faut en faire plusieurs !

Au (re)démarrage, il y a toujours BTTray.exe qui "n'a pu démarrer car btwhidcs.DLL est introuvable."

Antimalware a été mis à jours en version 6678 et tourne.

[invite42302d4e]

hello,

ok, ça se précise...

Au (re)démarrage, il y a toujours BTTray.exe qui "n'a pu démarrer car btwhidcs.DLL est introuvable."

Télécharge ce fichier btwhidcs.ZIP sur ton bureau et dé-zippe-le
Copie le fichier "btwhidcs.dll" que tu obtient après le dé-zippage et copie ce fichier "btwhidcs.dll" dans le dossier "C:\windows\system32"

Redémarre ton pc et dis moi si tu as toujours ce message d'erreur.

Pour le double clic, vérifie que la vitesse du double-clic ne soit pas trop haute (si oui baisse-la un petit peut )
Méthode de réglage

tient moi au courant

[myoper]

Télécharge ce fichier btwhidcs.ZIP sur ton bureau et dé-zippe-le

Le lien a expiré et me propose celui-ci : http://fr.dll-files.com/pop.php?dll=btwhidcs
j'attends ton feu vert avant de dézipper, "je" ne sais jamais ...

[invite42302d4e]

hello,

prend celui là que tu n'auras pas besoin de dézipper
http://www.archive-host.com/files/10...6/btwhidcs.dll

tu le télécharge sur ton bureau et le colle dans le dossier system32

[myoper]

C'est parti !

[myoper]

Le double clic est maintenant bon (je ne me souvenais pas qu'un cran pouvait perturber autant mon index).

Je mets les derniers rapport de MalwareB en PJ.

[invite42302d4e]

ola,

bon c'est cool, les seules détections de malwarebytes lors du dernier scan sont relatives à la zone de quarantaine d'OTL

Relance OTL et clique sur "purge outils", laisse redémarrer le PC.
Supprime manuellement TDSSKiller et UnHide.exe.

Pour moi c'est clean maintenant, on revient de loin....^^

bonne soirée et si tu as des questions n’hésite pas

[myoper]

Ouioui, questions :
Est ce que toutes ces saloperies ont été installées par des téléchargements mal choisis ou ils ont pu venir sans action particulière ?

Est ce que si les téléchargements avait été fait sur une clé USB puis scanné avec malwarebytes, ça aurait amorti ou évité ces infections ?

Merci encore
(douézéserviable)

[invite42302d4e]

hello,

Est ce que toutes ces saloperies ont été installées par des téléchargements mal choisis ou ils ont pu venir sans action particulière ?

Dans l'ordre les vecteurs d'infections sont:

• Téléchargement et exécution de portnawak (crack/keygen etc...)
• Visite de site sensible.
• Clic compulsif sur des liens reçu par mail ou sur les réseaux sociaux
• Connexion du clef USB qui comporte un trojan se propageant par USB/réseaux (vers) .

Sans parler de programmes de P2P qui transforme ton pc en vrais passoire...

Est ce que si les téléchargements avait été fait sur une clé USB puis scanné avec malwarebytes, ça aurait amorti ou évité ces infections ?

Bien souvent c'est inefficace car les droppers sont tellement souvent mis à jour qu'il sont difficilement détectable par les Anti virus.Par contre un crack ou un keygen sera en général relativement bien détecté.

@++