Virus ? • page 2

[HexCrunch]

Hello,

Désolé, j'avais pas payé attention, le logiciel à désinstaller est Duuqu.

Concernant Pre_Scan, Voici son lien,

Lien édité (renommé winlogon)
Lien édité (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

Lien édité
Lien édité
Lien édité


J'attends de tes nouvelles, une fois les infections éradiquées, on verra si un nettoyage ferait l'affaire

++

[Multi]

Alors, je me suis laissé suprendre par winlogon il s'est lancé dès le téléchargement fini, je m'attendais à une installation, donc il a commencé et j'ai désactivé l'antivirus 1min plus tard.
Voici le rapport: Rapport
(à en lire le nombre de "suspect" et de "moved to quarantaine", je suis étonné ! Pourquoi mon antivirus n'a pas été capable de détecté ça ?
J'espère que les choses vont bientôt bien aller^^ (pour l'instant, toujours des chargements abusés et des lags sur mes jeux :( Je redoute un problème de carte graphique ou une connerie comme ça ! :s)

[HexCrunch]

Hello,

Pre_Scan a juste effectué quelques réparations

Essaye de désinstaller Kaspersky pour voir si tes jeux laguent encore.

[Multi]

Oui ils laguent encore :(
Peut etre un peu moins pour GW2. Mais toujours des chargements beaucoup trop long ! Pareil pour skyrim, avant je pouvais jouer un peu plus de 10 secondes après l'avoir lancé, maintenant c'est le triple quasiment, en plus des petits lags. (d'ailleurs c'est étonnant ça, je trouve les lags moins importants sur Skyrim que sur GW2) Je comprends rien à mon problème, j'espère que tu es pas trop perdu et que tu a de la ressource ! lol^^'
En attendant impatiemment ta réponse pour que ce fucking problème soit résolu vite...!

[HexCrunch]

Plop,

On va éliminer la présence des infections pour de bon, puis on passera à l'étape nettoyage/optimisation.

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
• Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'adminsitrateur.
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées.
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :
  
  

  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /s
  HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows /s
  HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
  HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
  HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  SAVEMBR:0
  NetSvcs
  %systemroot%\system32\drivers\*.sys /lockedfiles
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %APPDATA%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  netsvcs
  /md5start
  dwm.exe
  taskhost.exe
  taskeng.exe
  wscntfy.exe
  ctfmon.exe
  rdpclip.exe
  volsnap.sys
  sptd.sys
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  tcpip.sys
  Sfloppy.sys
  Changer.sys
  cdrom.sys
  disk.sys
  ndis.sys
  usbscan.sys
  usbprint.sys
  tdtcp.sys
  tdpipe.sys
  swmidi.sys
  splitter.sys
  rdpwd.sys
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  RASACD.SYS
  iaStor.sys
  nvstor.sys
  atapi.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %APPDATA%\*.exe /s
  %APPDATA%\Adobe\Update\*.*
  %APPDATA%\Update\*.*
  %APPDATA%\Microsoft\*.*
  %ALLUSERSPROFILE%\Favorites\*.*
  %ALLUSERSPROFILE%\*.*
  %SYSTEMDRIVE%\*.*
  %PROGRAMFILES%\*.*
  %PROGRAMFILES%\Internet Explorer\*.*
  %USERPROFILE%\*.*
  %Temp%\smtmp\1\*.*
  %Temp%\smtmp\2\*.*
  %Temp%\smtmp\3\*.*
  %Temp%\smtmp\4\*.*
  %USERPROFILE%\Local Settings\Temp\*.exe
  %USERPROFILE%\Local Settings\Temp\*.dll
  %USERPROFILE%\Application Data\*.exe
  %systemroot%\system32\DBBK\*.* /s
  %systemroot%\system32\config\systemprofile\*.*
  %systemroot%\*. /mp /s
  %systemroot%\*.exe /90
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\system32\*.dll /90
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\system32\*.exe /90
  %systemroot%\system32\config\*.sav
  %systemroot%\system32\spool\prtprocs\w32x86\*.*
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\assembly\tmp\*.* /S /MD5
  %systemroot%\assembly\GAC_32\*.* /S /MD5
  %systemroot%\assembly\GAC_64\*.* /S /MD5
  %windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.*
  %windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.*
  %windir%\temp*.*
  "%WinDir%\$NtUninstallKB*$." /30
  CREATERESTOREPOINT

  
  
  
  
  
• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
• Les rapports étant trop longs pour le forum, héberge-les sur Cjoint et indique les liens fournis dans ta réponse.
• Les rapports sont sauvegardés sur le Bureau.

[Multi]

Voici: Rapport (pas d'extra)

[HexCrunch]

Hello,

Ne lâche pas, on continue

Désinstalle depuis le panneau de configuration le logiciel Duquu

Avovcnt.exe semble être le coupable de ce qui se passe, et je pense qu'il y'en a plus derrière.. Heureusement, ComboFix traite très bien l'infection

Gros merci à Raptor14 pour le canned

Première partie :

Ces 2 points sont à lire attentivement :


1. Tes protections doivent êtres désactivés ( Voir >> ICI << )
   
2. ComboFix doit être renommé avant d'être téléchargé ( Voir >> ICI << )

Deuxième partie :


• Télécharges ComboFix (de sUBs) sur ton Bureau !
  
  
• Sous Windows 7 et Vista :
  
  • Clique droit sur l’exécutable ,exécuter en tant qu'administrateur
  • Si tu reçois un avertissement, cliquer Oui
  • Une fenêtre va s'ouvrir, cliques sur J'accepte
    
    
  • A partir de la ne touche plus le PC, ni la souris ni même le PC !
  
  
• Sous Windows XP :
  
  Lance l'éxécutable
  
  • Une fenêtre va s'ouvrir, cliques sur J'accepte
    
    
  • A partir de la ne touche plus le PC, ni la souris ni même le PC !
    
    
  • Accepte l'installation de la console de récupération
  • Un message apparaît, clique sur Ok
  • Une fenêtre s'ouvre avec deux choix, clique sur Oui
  • Une fenêtre s'ouvrira t’indiquant que la console de récupération c'est bien installé, clique sur Oui

[*]A la fin du scan, ComboFix t'indiquera ou se trouve le rapport. Redémarre ton PC, puis poste sur cjoint.com /list]



*********
A la fin de cette procédure, fais moi un rapport OTL pour voir ou sont arrivées les choses sur ton PC.

Fournis moi le lien de ton rapport.

On y arrive, ne lâche pas

[Multi]

Euh je crois qu'il y a un petit problème...Je suis arrivé à ça: mais j'ai une ligne supplémentaire: la syntaxe de la commande n'est pas correcte.... Je fais quoi ? J'ai pas envie de toucher à quelque chose, déjà j'ai essayé de lancer une page internet car je pensais que c'était fini, et en fait non il ne se lance même pas (page web inaccessible façon).... J'espère que tu répondras vite ^^'

EDIT: Bon alors j'ai fermé, voyant bien qu'il n'allait rien se passer de plus. J'ai retenté, même message sur la syntaxe incorrecte... J'ai viré combofix et réinstallé, relancé: même message... Grr --' Je t'attends !

[HexCrunch]

Tu peux me donner ce message ?

On tente autre chose..

Télécharger gmer

- Cliquer sur le bouton "Download EXE"
- Sauvegardez sur le Bureau.
- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.
Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

- Fermez les fenêtres de navigateur ouvertes.
- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;
- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"
- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :
Show All
Cochez juste " Sections" et "Files


- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)
Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.
Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.
Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

[Multi]

Quel message ? Je parle juste de la phrase "La syntaxe de la commande n'est pas correcte" ^^

Et un truc que je comprends pas, tu dis "cochez juste sections et files" et après tu dis "vous pouvez essayer ceci: décocher devices"... Mais logiquement il n'était pas coché puisque j'ai du le décocher : juste sections et files.... J'imagine que tu parlais de "sections". Je lance^^

Voilà, j'espère avoir tout bien fait: http://cjoint.com/?3GgaLSc0Jk8 (et j'espère aussi qu'on arrive à quelque chose !^^ )

[HexCrunch]

Hello,

Tu as bien fait,
Une dernière vérification..

Téléchargez aswMBR.exe sur votre Bureau ici:
http://public.avast.com/~gmerek/aswMBR.exe

Double-cliquez sur aswMBR.exe pour l'exécuter
Double-cliquez sur aswMBR.exe présent sur votre bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN)

Cliquez sur le bouton «Scan»

Cliquez sur le bouton "Fix" en cas d'infection

Cliquez sur save log ,Enregistrez le rapport sur le bureau
Postez le rapport dans votre prochaine réponse sur le forum

[Multi]

Pas eu besoin de cliquer sur fix.
Voici le log:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-07-06 22:05:36
-----------------------------
22:05:36.477 OS Version: Windows x64 6.1.7601 Service Pack 1
22:05:36.478 Number of processors: 2 586 0x2A07
22:05:36.479 ComputerName: UTILISATEUR-PC UserName: Utilisateur
22:05:37.514 Initialize success
22:05:49.568 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
22:05:49.573 Disk 0 Vendor: HGST_HTS JA0O Size: 953869MB BusType: 3
22:05:49.751 Disk 0 MBR read successfully
22:05:49.757 Disk 0 MBR scan
22:05:49.762 Disk 0 Windows 7 default MBR code
22:05:49.771 Disk 0 Partition 1 00 1C Hidd FAT32 LBA MSDOS5.0 25600 MB offset 2048
22:05:49.798 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 400081 MB offset 52430848
22:05:49.829 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 528186 MB offset 871796736
22:05:50.008 Disk 0 scanning C:\Windows\system32\drivers
22:06:01.822 Service scanning
22:06:24.692 Modules scanning
22:06:24.709 Disk 0 trace - called modules:
22:06:24.752 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll
22:06:24.762 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004f8e3f0]
22:06:25.106 3 CLASSPNP.SYS[fffff880013cc43f] -> nt!IofCallDriver -> [0xfffffa8004aa6580]
22:06:25.118 5 ACPI.sys[fffff88000e0b7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004e0b050]
22:06:25.130 Scan finished successfully
22:06:47.236 Disk 0 MBR has been saved successfully to "C:\Users\Utilisateur\Desktop\MBR.dat"
22:06:47.247 The log file has been saved successfully to "C:\Users\Utilisateur\Desktop\aswMBR.txt"

[HexCrunch]

Bon on continue
1.>>> Désactive la restauration systéme
http://www.jenyburn.com/comment-desacti ... windows-7/

2.>>> Télécharge TFC - Temp File Cleaner (de OldTimer)

Enregistrer impérativement le fichier sur le Bureau.

L'outil va faire redémarrer le système: il est indispensable d'enregistrer tous les travaux en cours.

Faire un double clic sur TFC. exe pour lancer l'outil.

Sous Windows Vista et W7, faire un clic droit sur TFC.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil"

L'écran principal de TFC s'affiche:
Cliquer sur le bouton Start.

L'outil va supprimer les fichiers temporaires de tous les utilisateurs, ce qui prend au maximum trois minutes.

En fin d'exécution, le programme affichera la liste des dossiers vidés, ainsi que la taille de l'espace disque ainsi libéré.

Note: le nombre affiché en rouge tout en bas: Total Files Cleaned = **,** mb pour l'envoyer en réponse.

Le programme proposera le redémarrage du système ("The system requires a reboot to finish removing files"). Il faut cliquer sur Oui/Yes.

[Multi]

Total files cleaned: 341,00 mb

Mais je n'ai pas eu à redémarrer l'ordi...?
Est ce que je remet la protection de l'ordinateur ? Comment fais-je, quel phrase je dois cocher ?

Bon je suis retourné sur GW2. Alors déjà temps de chargement qui prennent deux fois voir trois fois plus de temps. (pareil pour skyrim, qui avant n'avait quasi aucun temps de chargement). Je me suis écarté de la "population", j'ai été là ou il n' avait presque personne. Et là c'était pas mal du tout, y'avait même des moments sans aucun lag. Le tx rafr, qui est équivalent au fps j'imagine, qui tournait autour de 30, valeur qui était à peu près celle là quand je laggais pas ! Parfois le son qui avait un peu de mal, avec un petit décalage. Mais quand je retournais où il y avait pas mal de monde, c'est reparti, tx rafr qui atteignaient à peine 10, les joueurs qui ne s'affichaient qu'après un moment, je ne voyais que leur nom, pareil pour les PNJ. Alors on pourrait penser à un problème de co. Mais non puisque sur Skyrim ce n'est plus fluide comme avant ! Je n'y comprends strictement rien !
Grâce à ton aide, n'avons nous pas éradiqué toutes les infections ? Penses tu que nous allons réussir ? Car mardi je peux emmener l'ordi à Darty, au SAV, pour une ENIEME fois...(il est encore sous garanti). Est ce que j'en profite ? Où on va réussir u_u ? (sachant que je dois appeler lundi pour prévenir... (Pour cette raison d'ailleurs plus tu répondras vite aux prochains messages mieux ce sera :p ))
En tout cas un gros merci pour ton aide jusque là, même si mon ordi est têtu et ne veut pas se faire réparer ! lol

[HexCrunch]

Hello,

Oui, pour le moment, le PC est clean d'infections,

Mais je vois qu'il y a beaucoup, beaucoup de logiciels sur le PC, on tante quelque chose;,

• Télécharge sur ton PC Game Booster et installe-le
• Lance le, et clic sur Basculer en mode Boost.
• Ensuite, Coche toutes les cases, sauf Explorer.exe dans le menu Autres
• Clic suy appliquer puis sur Booster
• Tous les processus non vitaux seront tués, ce qui est normal
• Lance ton jeu pour voir au milieu du jeu, on va résoudre le chargement ultérieurement.

Tiens moi au courant

++