Résolu Petit virus

[ashaa3k]

Bonjour tout le monde,
J'ai un virus je pense, enfin pas moyen de trouver sur google quelqu'un qui a eu le même problème que moi, après avoir passé anti malware et plein d'autre programmes aucun ne le trouve.

En fait j'ai une fenêtre msdos qui se lance a chaque démarrage de windows et se referme assé rapidement (1seconde), j'ai réussis à avoir un screen que je vous joint.

J'ai remarquer aussi que dans mon démarrage il y avait 2 fichier inconnu en rundll32.exe que j'ai joint au screen aussi, quand je vais voir le répertoire de ces deux fichiers le répertoire n'existe pas.

Voici mon screen =>

Vous devez être connecté pour voir les liens.

et voici mon rapport ZHPDIAG =>

Vous devez être connecté pour voir les liens.

Voila merci beaucoup d'avance.
Passez une bonne journée
Greg.

 

[forminux1]

Salut
Je te prend en charge je lis ton log ok
@Toute

• 
  ■ Télécharge sur le bureau
  Vous devez être connecté pour voir les liens.
  
  
  ■ Si ton antivirus s'affole , le désactiver
  
  ■ sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
  
  ■ sous XP : double-clic dessus pour le lancer
  
  ■ taper 1 pour Français
  
  ■ Appuyer sur une touche jusqu' arriver aux options
  
  ■ Choisir Recherche/Désinfection automatique ( = taper 1 ) puisd entrer
  
  ■ un rapport : fixnavi.txt dans ==> C :
  
  ■ le copier et le coller dans la réponse

@+

A suivre...

 

[ashaa3k]

Bonjour forminux1,
merci pour ta réponse,
navilog n'a rien trouvé par contre...

voici le log :
Fix Navipromo version 4.0.9 commencé le ven. 21/01/2011 12:31:07,59

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 24.11.2010 à 16h00 par IL-MAFIOSO

Microsoft Windows 7 Édition Intégrale ( v6.1.7600 )
x64-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz )
BIOS : BIOS Date: 11/26/07 19:42:38 Ver: 08.00.12
USER : ASHAA ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:465 Go (Free:25 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)


Recherche executée en mode normal


Aucune Infection Navipromo/Egdaccess trouvée



*** Scan terminé ven. 21/01/2011 12:31:25,85 ***

par contre quand j'enlève la case du démarrage je n'ai plus de fenêtre msdos, enfin ces assez bizard

 

[forminux1]

Ok
Tu va faire comme suis maintenant

• LaMaintenant nce ZHPFix pas ZHPDIAG hein ZHPFIX c'est une seringue le raccourci qui c'est télécharger avec (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
• Copie les lignes suivantes :

---------------------------------------------------
O4 - HKLM\..\Wow6432Node\Run: [JMB36X IDE Setup] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\RaidTool\xInsIDE.exe
O4 - Global Startup: C:\Documents And Settings\ASHAA\Desktop\PhotoZoom Pro 3.lnk . (.Pas de propriétaire.) -- C:\Program Files (x86)\PhotoZoom Pro 3\PhotoZoom Pro 3.exe
O4 - Global Startup: C:\Documents And Settings\ASHAA\Desktop\PhotoZoom Pro 4.lnk . (.Pas de propriétaire.) -- C:\Program Files (x86)\PhotoZoom Pro 4\PhotoZoom Pro 4.exe (.not file.)
O8 - Extra context menu item: Télécharger avec IDM . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm
O47 AAKE:Key Export SP - "C:\Program Files (x86)\FlashGet Network\FlashGet 3\FlashGet3.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
-O51 - MPSK:{28106320-79dd-11df-8e6d-806e6f6e6963}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\setup.exe (.not file.)
O51 - MPSK:{9e1ff48c-fa64-11df-9cf5-001e8cbbe5fe}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\autorun.exe (.not file.)
O51 - MPSK:{9e29a53a-987c-11df-8d2d-001e8cbbe5fe}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\LaunchU3.exe
O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O52 - TDSD: \drivers.desc\"C:\Windows\System32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O53 - SMSR:HKLM\...\startupreg\SwitchBoard [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O64 - Services: CurCS - C:\Windows\system32\Drivers\BEEP.sys - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP
O64 - Services: CurCS - (.not file.) - DrWeb Protection (DwProt) .(.Pas de propriétaire - Pas de description.) - LEGACY_DWPROT
O64 - Services: CurCS - (.not file.) - ehdrv (ehdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_EHDRV
O64 - Services: CurCS - C:\Windows\system32\Drivers\FS_REC.sys - Fs_Rec (Fs_Rec) .(.Pas de propriétaire - Pas de description.) - LEGACY_FS_REC
O64 - Services: CurCS - C:\Windows\system32\Drivers\SECDRV.sys - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - C:\Windows\system32\Drivers\SPLDR.sys - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR
O64 - Services: CurCS - C:\Windows\System32\Drivers\sptd.sys - sptd (sptd) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPTD



---------------------------------------------------

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix.
• Clique sur « Ok » vérifie que toutes les cases sois bien cochés puis Clic sur « Tous », puis sur « Nettoyer vérifie bien que les case soit bien coché

ensuite on ferras le nettoyage et sa devrais être bon

@+

A suivre...

 

[ashaa3k]

Ces fait mais malheureusement j'ai toujours le même problème, si je recoche les case au démarrage j'ai encore la fenêtre msdos je capte pas j'ai eu ca du jour au lendemain.. sans avoir rien changer a mon pc.. avira anti vir ne trouve rien non plus

 

[forminux1]

Ces fait mais malheureusement j'ai toujours le même problème, si je recoche les case au démarrage j'ai encore la fenêtre msdos je capte pas j'ai eu ca du jour au lendemain.. sans avoir rien changer a mon pc.. avira anti vir ne trouve rien non plus

héhé patience c'est pas fini l'ami pas de panic [:forminux1:15]

• Télécharge

Vous devez être connecté pour voir les liens.

(de C_XX) sur ton Bureau.
:!: Déconnecte toi et ferme toutes les applications en cours :!:
• Double-clique sur l'icône AD-Remover(ou clic droit exécuter en tant qu'adminsitrateur pour vista et seven)
• Au menu principal, choisis l'option 2 nettoyage
• Confirme le lancement de l'analyse et laisse l'outil travailler
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

@+

A suivre

 

[ashaa3k]

Ha oki désolé.. lol je suis trop pressé..lol

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web:

Vous devez être connecté pour voir les liens.

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 13:22:36 le 21/01/2011, Mode normal

Microsoft Windows 7 Édition Intégrale (X64)
ASHAA@ASHAA-PC (System manufacturer P5K)

============== RECHERCHE ==============



Clé trouvée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé trouvée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\ASHAA\AppData\Roaming\Mozilla\FireFox\Profiles\9dqptpmt.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\ashaa\\Bureau\\telechargement
browser.download.lastDir, C:\\Users\\ASHAA\\Desktop\\baguuueee
browser.search.defaultenginename, Yahoo
browser.search.selectedEngine, Google
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 21/01/2011 (2236 Octet(s))

Fin à: 13:24:17, 21/01/2011

============== E.O.F ==============

 

[forminux1]

OK
Maintenant
Télécharge

Vous devez être connecté pour voir les liens.

de Laddy sur ton bureau
Double-Clic dessus pour l'exécuter. Sous Vista/Seven fais un clic droit executer en tant qu'administrateur.
Le rapport va s'ouvrir dans le bloc-note.
Si ce n'est pas le cas, le rapport nommé RapportCHK_DD-MM-AAAA.txt se trouve sur ton bureau.
Poste-le dans ta prochaine réponse.
@+

A suivre...

 

[forminux1]

EDIT
tu na pas fait l'option 2 avec ad-remover??
tu as fait l'option 1 je t'ai demandé l'option 2
Je le vois dans le rapport
C:\Program Files (x86)\Ad-Remover\main.exe (SCAN 1) -> Lancé à 13:22:36 le 21/01/2011, Mode normal
On va pas nettoyer grand chose si tu ne suis pas ce que je te dis
En effet tu est trop pressé

Repasse AD-Remover et fait l'option 2 nettoyage

@+

 

[ashaa3k]

Oki je vais faire ca désolé pour le retard Merci en tout cas

 

[forminux1]

RE
Question => Ta fenêtre apparait elle toujours au démarrage de ton PC ?
=>Tu ne ma pas coller le rapport de Report_CHDSK.exe ?
=>on a pas terminer non plus ashaa3k il reste a nettoyer les outils fix que l'ont a utiliser puis nettoyer ta base de registre
=> il ni en a plus pour longtemps la préssé [:_apocalypse_] [:forminux1:15]
@+

 

[ashaa3k]

J'avais mal lus, désolé en plus de ca j'ai tellement de la chance que j'ai une bonne gripe sur la tête..du coup 2 de tension

donc voici pour le scan =>

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web:

Vous devez être connecté pour voir les liens.

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:55:06 le 21/01/2011, Mode normal

Microsoft Windows 7 Édition Intégrale (X64)
ASHAA@ASHAA-PC (System manufacturer P5K)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé supprimée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\ASHAA\AppData\Roaming\Mozilla\FireFox\Profiles\9dqptpmt.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\ashaa\\Bureau\\telechargement
browser.download.lastDir, C:\\Users\\ASHAA\\Desktop\\baguuueee
browser.search.defaultenginename, Yahoo
browser.search.selectedEngine, Google
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/01/2011 (2476 Octet(s))
C:\Ad-Report-SCAN[1].txt - 21/01/2011 (2365 Octet(s))

Fin à: 14:56:18, 21/01/2011

============== E.O.F ==============

 

[forminux1]

OK
Le Report_CHDSK.exe
Puis Question => Ta fenêtre apparait elle toujours au démarrage de ton PC ?
Maintenant nettoyage
télécharge

Vous devez être connecté pour voir les liens.

sur ton bureau
1.double clic dessus (pour Vista et seven clic droit en tant qu'administrateur)
2.Une fois la fenêtre de l'application ouverte, cliquer sur " Recherche " soyez patient un moment le temps qu'il travaille...
3.Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.
Fermez le programme en cliquant sur "Quitter ".
4.copie /colle le rapport qui se trouve ici >>> C:\TCleaner.txt

@+

A suivre...

 

[ashaa3k]

le rapport Report_CHDSK.exe =>

Report_CHKDSK v1.0 BY Laddy
Début le 21/01/2011 à 15:04:19.
OS : Windows 7 Ultimate
Utilisateur ASHAA : Administrateur
Lancement: C:\Users\ASHAA\Desktop\Report_CHKDSK.exe


########## [EVENTLOG CHKDSK]




########## ENDOF 15:05:15

 

[forminux1]

RE
Je t'ai répondu au dessus
Le scan report na pas pu durer 1 minute c'est pas possible il est vide y'a rien dedans
Et tu na toujours pas répondu à ma questions
=> Ta fenêtre apparait elle toujours au démarrage de ton PC?

@+

surtout il faut bien faire ce que je te recommande ashaa3k sinon on va pas y arriver tu comprends [:_sebastien_:2]
j'attends ton rapport toolCCleaner 2
Puis la réponse à la question posé
@<+

 

[ashaa3k]

Pour la commande msdos, je ne sais pas.. je suis en train de faire le scan de toolcleaner la, par contre je recoche les cases dans le démarrage du msconfig pour voir si il y a toujours la fenêtre msdos?

 

[ashaa3k]

pour le scan report j'ai eu ce .txt a la fin et je n'ai rien annuler.. le programe se ferme et me donne un .txt

 

[ashaa3k]

Je n'ai pas le TCLEANER.TXT dans mon c: ni quand je le recherche je te poste donc le rapport de toolcleaner 2 du prog :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\SdFix.exe: trouvé !
C:\cleannavi.txt: trouvé !
C:\Navilog1: trouvé !
C:\Rsit: trouvé !
C:\Navilog1\Navilog1.bat: trouvé !
C:\Program Files (x86)\Navilog1: trouvé !
C:\Program Files (x86)\Ad-remover: trouvé !
C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files (x86)\trend micro\HijackThis.exe: trouvé !
C:\Program Files (x86)\trend micro\hijackthis.log: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !
C:\Users\ASHAA\Desktop\SdFix.exe: trouvé !
C:\Users\ASHAA\Desktop\Navilog1.exe: trouvé !
C:\Users\ASHAA\Desktop\ComboFix.exe: trouvé !
C:\Users\ASHAA\Desktop\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\SdFix.exe: supprimé !
C:\Navilog1\Navilog1.bat: supprimé !
C:\Program Files (x86)\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files (x86)\trend micro\HijackThis.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: supprimé !
C:\Users\ASHAA\Desktop\SdFix.exe: supprimé !
C:\Users\ASHAA\Desktop\Navilog1.exe: supprimé !
C:\Users\ASHAA\Desktop\ComboFix.exe: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files (x86)\trend micro\hijackthis.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: supprimé !
C:\Users\ASHAA\Desktop\Rsit.exe: supprimé !
C:\Navilog1: supprimé !
C:\Rsit: supprimé !
C:\Program Files (x86)\Navilog1: supprimé !
C:\Program Files (x86)\Ad-remover: supprimé !
C:\Program Files (x86)\ZHPDiag: supprimé !

 

[forminux1]

RE
Tu as bien du avoir un fichier bloc note va voir à la racine de ton disque dur C: et double clic dessus et tu devrais trouver un petit fichier bloc note avec marqué RapportCHK_DD-MM-AAAA.tx
Clic sur ordinateur et va voir en faisant un double clic dessus il dois y être
Pour la console msdos c'est sur que si tu laisse la case coché elle apparaitras toujours au démarrage il ne faut pas cocher la case justement
@+
j'attend le rapport

 

[ashaa3k]

Pour le report chkdsk toujours le même.. le log sur le bureau est celui ci :
Report_CHKDSK v1.0 BY Laddy
Début le 21/01/2011 à 15:17:48.
OS : Windows 7 Ultimate
Utilisateur ASHAA : Administrateur
Lancement: C:\Users\ASHAA\Desktop\Report_CHKDSK.exe


########## [EVENTLOG CHKDSK]




########## ENDOF 15:18:41