Virus sur mon pc

[wakakiko]

lorseque je clique sur le bouton rouge Moveit, une erreur s'affiche " acces violation to adress 0057E30F in module otm.exe read of adress 00000000
-----

[invitec04351b8]

Bonjour,

on va essayer de voir si ill,'y a pas un rootkit.

Télécharge GMER Scanner de rootkit

• télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
  
• exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
  
• le chargement va prendre une minute.
  
• si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
  
• règle les paramètres (fenêtre de droite) de la manière suivante :
  
  
  # seule la partition système (en général C:\ ) doit rester cochée
  # Show All : <gras>décochée</gras>
  
• clique sur "SCAN" puis patiente...
  
• En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"
  
• Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes
  
• Copie le contenu et colle le dans ta réponse.

@+

[wakakiko]

voila esperant que cette fois sera la bonne

[invitec04351b8]

Bonsoir,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[wakakiko]

voila le rapport

[invitec04351b8]

Bonjour,

pourquoi Combofix est exécuté depuis :

Lancé depuis: c:\documents and settings\Administrateur\Mes documents\TÚlÚchargements\Comb oFix.exe

alors que le tutoriel précise qu'il doit être enregistré sur le Bureau ?

@+

[wakakiko]

voila le rapport

[invitec04351b8]

Bonjour,

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  
  
  Code:

  Registry::
  
  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableRegistryTools"=-

• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

[wakakiko]

voila le nouveau rapport

[wakakiko]

bonsoir lyonnais, j espere que tu n est pas occupé a faire autre chose j ai refait la meme manipulation avec le zhp fix ,le temps que tu me repondais voila le rapport j espere que j ai bien fait

[wakakiko]

bonsoir ca fait plusieurs mois que j'utilise mon pc sans probleme et hop le meme probleme reapparait depuis hier, est ce que je dois refaire toute les manipulations ou quoi?
SVP est ce que vous pouvez m'apprendre quelques astuces pour regler mes problemes tout seul si c'est possible merci

[invitec04351b8]

Bonsoir,

tu relances ZHPDiag, tu cliques sur la flèche verte.

Tu acceptes le téléchargement et l'installation de la nouvelle version.

Tu relances ZHPDiag et tu postes le rapport en pièce jointe.

@+

[wakakiko]

voila le rappor

[invitec04351b8]

Bonjour,

le rapport ne montre aucune infection.

Tu peux redonner les symptômes de dysfonctionnements que tu as ?

@+

[wakakiko]

je n'arrive pas à enregistrer quelque chose sur ma carte mémoire ou sur ma clé usb une fois inserée dans le port j'ai toujours le message clé protégé en écriture alors que cela n'arrive pas dans les autres pc.

[invitec04351b8]

Re,

démarrer, Exécuter,

tu tapes regedit.exe puis tu cliques sur OK.

En cliquant sur lkes +, tu navigues jusqu'à la clé

HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\StorageD evicePolicies

Tu dois avoir une valeur WriteProtect

Donne moi sa valeur (probablement 0 ou 1).

@+

[wakakiko]

c'est écrit:

WriteProtect REG_DWORD 0*00000001 (1)

[invitec04351b8]

Re,

tu recommences la manip d'accès à la clé HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\StorageD evicePolicies

Clique droit sur WriteProtect

Choisis Modifier.

Remplace 1 par 0.

Ne change rien d'autre.

Clique sur Ok.

Ferme regedit.

Fais redémarrer l'ordi.

Teste la clé USB et dis moi.

@+

[wakakiko]

Merci, ca marche trés bien, je voulais egalement prendre votre avis a propos du pc d'un ami qui a executer un fichier à partir de sa clé par erreur (apparement un virus) et lorsqu'il a redemaré son ordinateur, il n'a plus accés au bureau " écran noir" ni au menu demarrer, mais une fenetre apparait contenant les fichiers de mes documents, l'accés a l'internet est possible et le scann par antivirus n'est pas possible.

Il a essayé de faire un scan antivirus et aussi de restaurer windows en mode sans echec, mais c'est pas possible, esperant votre aide. Merci

[invitec04351b8]

Bonjour,

si tu n'as plus de soucis, on peut traiter l'ordi de ton ami.

Le mieux serait qu'il s'inscrive et ouvre un topic.

Il peut commencer par ça :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[wakakiko]

mon ami n'est pas trop internet, il est nul
voila le rapport, il est volumineux je l'est divisé sur 2

[invitec04351b8]

Re,

tu sélectionnes et supprimes tous les répertoires de ce type (ça allégera les rapports à venir) :

Code:

C:\Users\user\AppData\Local\{00695D38-2F7A-48F9-A668-A80B1C22C222}

===


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le nouveau rapport en pièce jointe.

@+

[wakakiko]

voila j'ai fait toutes les étapes , j'ai posté les rapports, bonne nouvelle le pc est de nouveau accessible, aprés supression par MBAM

[invitec04351b8]

Bonjour,

encore du travail.

===

Quel est son antivirus ?

En plus, O42 - Logiciel: NOD32 FiX - (.nsane productions.) [HKLM] -- {DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1, ce n'est pas raisonnable.

Si il n'a pas de licence en cours, je lui conseille d'installer Avast gratuit et de désinstaller les autres (pas MBAM qui n'est pas un antivirus).

===

Il faut installer le SP1 de Windows 7 pour combler les failles de sécurité.

Il faut aller le chercher par Windows update.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 101 MediaBar
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- AskTBar Uninstall
O42 - Logiciel: uTorrentBar_FR Toolbar - (.uTorrentBar_FR.) [HKLM] -- uTorrentBar_FR Toolbar
O44 - LFC:[MD5.CA8B49AFDBF145755ABEB64AA42A1FF5] - 21/11/2011 - 07:17:08 RSHA- . (.Pas de propriétaire - Microsoft.) -- C:\Ntldr.EXE   [403428]
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} - (Web Search) - http://search.bearshare.com
O87 - FAEL: "{B8EDBE4B-8B32-4BA7-83F9-8DBBA73991FF}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\Windows Searchqu Toolbar\ToolBar\dtUser.exe (.not file.)
O87 - FAEL: "{0C1218C9-A3FB-48D3-98C5-CEEFF741614D}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Windows Searchqu Toolbar\ToolBar\dtUser.exe (.not file.)
[HKLM\Software\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}]
[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKLM\Software\Classes\AppID\{A01A3335-0C30-4312-A430-92356CC37A92}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B6F8DA9F-2696-419e-A8A3-19BE41EF51BD}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 101 MediaBar]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{fe063db9-4ec0-403e-8dd8-394c54984b2c}
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{fe063db9-4ec0-403e-8dd8-394c54984b2c}
M3 - MFPP: Plugins - [user] -- C:\Program Files\Mozilla FireFox\searchplugins\BearShareWebSearch.xml
M0 - MFSP: prefs.js [user - ouziclfl.default] http://search.bearshare.com
M2 - MFEP: prefs.js [user - ouziclfl.default\toolbar@alot.com] [] ALOT Toolbar v2.4.16000 (.alot.com.)
M2 - MFEP: prefs.js [user - ouziclfl.default\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}] [] uTorrentBar_FR Community Toolbar v3.8.1.0 (.Conduit Ltd..)
R3 - URLSearchHook: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.4.1) -- C:\Program Files\uTorrentBar_FR\prxtbuTor.dll
R3 - URLSearchHook: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.4.1) -- C:\Program Files\uTorrentBar_FR\prxtbuTor.dll
O2 - BHO: uTorrentBar_FR - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\uTorrentBar_FR\prxtbuTor.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} . (...) --  (.not file.)
O3 - Toolbar: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\uTorrentBar_FR\prxtbuTor.dll
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.)
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]
[HKLM\Software\AskTBar]
[HKLM\Software\BearShareMediabarTb]
[HKLM\Software\uTorrentBar_FR]
O43 - CFD: 24/07/2011 - 19:14:20 - [4,631] ----D- C:\Program Files\uTorrentBar_FR
[HKLM\Software\Classes\AppID\GIFAnimator.DLL]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[HKLM\Software\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\CLSID\{AC6240AE-33B6-40D3-8683-31BBE86049A0}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6240AE-33B6-40D3-8683-31BBE86049A0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{fe063db1-4ec0-403e-8dd8-394c54984b2c}]
[HKLM\Software\Classes\CLSID\{fe063dbb-4ec0-403e-8dd8-394c54984b2c}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{fe063dbb-4ec0-403e-8dd8-394c54984b2c}]
[HKLM\Software\BearShareMediabarTb]
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]
[HKLM\Software\uTorrentBar_FR]
C:\Program Files\uTorrentBar_FR
C:\Users\user\AppData\LocalLow\uTorrentBar_FR
C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ouziclfl.default\Extensions\toolbar@alot.com
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[wakakiko]

voila le rapport

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

@+