[Résolu] PC bloqué (infection détectée sur le Live CD)

Tous les problèmes de Windows : message d'erreur, BSOD et écran bleu, erreur Windows Update ou d'installation, etc

Modérateur : Mods Windows

makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

[Résolu] PC bloqué (infection détectée sur le Live CD)

par makhno »

Bonjour,
mon PC sur Win XP Pro SP3 part en capilotade... Depuis ce matin, XP se lance mais se ralentit considérablement dès l'apparition du bureau. Après vérification, l'UC utilisée est bloquée sur 100 % et un processus avwsc.exe se lance à plus de dix exemplaires pour finalement complètement "freezer" l'ordi.
- J'ai essayé de redémarrer la dernière bonne configuration connue à 2 reprises sans succès (en plus je crois que c'est pas malin de faire ça, non ?).
- J'ai essayé le mode sans échec (avec ou sans prise en charge réseau) qui se lance mais se bloque juste après l'apparition du bureau (souris en mode sablier dans la barre des tâches et UC bloquée également à 100%).
- J'ai essayé l'invite de commande avec prise en charge réseau sans succès également : il ne se passe plus rien après avoir lancé rstrui.exe

J'ai tenté de supprimer AVIRA (le processus avwsc.exe semble lui appartenir) mais je n'ai pas assez de ressources et l'ordi se bloque avant que j'ai pu faire quoique ce soit. Je ne sais plus trop quoi faire. Pour info, j'ai un mac portable à dispo pour pouvoir communiquer avec vous.
Merci pour votre aide.
Dernière modification par makhno le 22 janv. 2014 11:28, modifié 4 fois.
SkyTech

Re: Multiples processus avwsc.exe bloquent mon PC

par SkyTech »

Bonjour,

Depuis le Live CD Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/

Tu peux supprimer le répertoire Avira dans Program Files.

Cela te permettra de démarrer pour nettoyer les restes d'AntiVir : http://www.avira.com/fr/download?produc ... -antivirus

Pour ensuite le réinstaller ou installer un autre antivirus, au choix.
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: Multiples processus avwsc.exe bloquent mon PC

par makhno »

Merci beaucoup. Je vais tenter cette solution.
Mais comment expliques-tu qu'il soit également bloqué en mode sans échec avec utilisation de l'UC à 100% alors que dans ce mode aucun processus d'Avira ne se lance ??? Virus ??
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: Multiples processus avwsc.exe bloquent mon PC

par makhno »

Aïe. Comme expliqué précédemment, je ne possède qu'un Mac portable pour communiquer. A priori Iso2disc n'est pas une application Mac. Comment puis-je faire ??
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: Multiples processus avwsc.exe bloquent mon PC

par makhno »

J'ai finalement réussi à graver l'Iso avec l'utilitaire de gravure Mac. Ca semble fonctionner.
Je te tiens au courant de la suite.
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: Multiples processus avwsc.exe bloquent mon PC

par makhno »

J'ai démarré avec le Live CD et lancé Rogue Killer (2 fois) et je me retrouve avec 4 rapports sur le bureau.
Je les poste ici en suivant leur ordre chronologique :

N°1

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 01/21/2014 18:06:36
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowVideos (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SOFTWARE | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SECURITY | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SAM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\DEFAULT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Ben\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LocalService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LogMeInRemoteUser\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\NetworkService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) +++++
--- User ---
[MBR] 149bd237c0c0c2423209161a7d816066
[BSP] 8b270784e932ec3e8598092363f12295 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_01212014_180636.txt >>


N°2

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 01/21/2014 18:08:58
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SOFTWARE | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SECURITY | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SAM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\DEFAULT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Ben\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LocalService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LogMeInRemoteUser\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\NetworkService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) +++++
--- User ---
[MBR] 149bd237c0c0c2423209161a7d816066
[BSP] 8b270784e932ec3e8598092363f12295 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_01212014_180858.txt >>
RKreport[0]_S_01212014_180636.txt


N°3

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 01/21/2014 18:10:43
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SOFTWARE | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SECURITY | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SAM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\DEFAULT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Ben\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LocalService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LogMeInRemoteUser\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\NetworkService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) +++++
--- User ---
[MBR] 149bd237c0c0c2423209161a7d816066
[BSP] 8b270784e932ec3e8598092363f12295 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_01212014_181043.txt >>
RKreport[0]_S_01212014_180636.txt;RKreport[0]_D_01212014_180858.txt


N°4

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 01/21/2014 18:16:03
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)
[Inline] IAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (ExitWindowsEx) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x10001000)
[Inline] EAT @explorer.exe (LockWorkStation) : USER32.dll -> HOOKED (X:\windows\system32\SPEHook.dll @ 0x100010C0)

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SOFTWARE | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SECURITY | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SAM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\DEFAULT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Ben\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LocalService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\LogMeInRemoteUser\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Documents and Settings\NetworkService\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) +++++
--- User ---
[MBR] 149bd237c0c0c2423209161a7d816066
[BSP] 8b270784e932ec3e8598092363f12295 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_01212014_181603.txt >>
RKreport[0]_S_01212014_180636.txt;RKreport[0]_D_01212014_180858.txt;RKreport[0]_S_01212014_181043.txt


Du coup, C'était a priori une infection (laquelle ???) ! (je vous laisse le soin de déplacer le topic si besoin)
Je n'ai pas touché au répertoire d'Avira et j'ai pu redémarrer mon système sans problème. Tout refonctionne parfaitement.
Ce live CD est GENIAL. Un grand grand merci (qui sera suivi d'un don parce que vous le méritez amplement).
Maintenant j'aimerais pouvoir être sûr que tout est propre et j'ai encore besoin de votre aide pour nettoyer tout ça pas à pas. Merci pour votre aide
SkyTech

Re: PC bloqué (UPDATE : infection détectée sur le Live CD)

par SkyTech »

Bonjour,

Pourtant les éléments détectés par RogueKiller n'étaient que quelques bricoles, tant mieux si AntiVir fonctionne de nouveau ! :)

http://nicolascoolman.webs.com/apps/blo ... -startshow
makhno a écrit :Maintenant j'aimerais pouvoir être sûr que tout est propre et j'ai encore besoin de votre aide pour nettoyer tout ça pas à pas. Merci pour votre aide
En complément tu peux faire ça pour voir :

Téléchargez AdwCleaner( d'Xplode ) sur votre bureau.
Lancez le, cliquez sur [Scanner], patiente, puis sur [Nettoyer] puis patientez le temps de la suppression.
Un redédmarrage sera demandé, accepté.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Poste le rapport.

PS : Si le rapport est trop long pour être poster sur un message, tu peux utiliser un hébergeur : http://pjjoint.malekal.com/index.php?lang=fr
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: PC bloqué (UPDATE : infection détectée sur le Live CD)

par makhno »

Merci. C'est vrai que le machin n'avait pas l'air bien méchant mais il a rendu fou Avira...

Voici le rapport AdwCleaner : il a l'air nickel


# AdwCleaner v3.017 - Rapport créé le 22/01/2014 à 10:05:14
# Mis à jour le 12/01/2014 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Ben - BEN
# Exécuté depuis : C:\Documents and Settings\Ben\Bureau\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\Documents and Settings\Ben\Application Data\Mozilla\Firefox\Profiles\0yaepsyj.default\prefs.js ]


-\\ Google Chrome v

[ Fichier : C:\Documents and Settings\Ben\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R11].txt - [976 octets] - [22/01/2014 10:04:12]
AdwCleaner[S9].txt - [897 octets] - [22/01/2014 10:05:14]

########## EOF - C:\AdwCleaner\AdwCleaner[S9].txt - [956 octets] ##########

En complément, je me permets de te poster un rapport HjThis pour savoir s'il n'y a rien à fixer :

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 10:15:39, on 22/01/2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
CHROME: 32.0.1700.76
FIREFOX: 25.0 (fr)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre7\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Ben\Local Settings\Application Data\Google\Google Talk Plugin\googletalkplugin.exe
C:\Program Files\Hijackthis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8850284750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 9882349453
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Fichiers communs\Steam\SteamService.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 4827 bytes

MERCI !
SkyTech

Re: PC bloqué (UPDATE : infection détectée sur le Live CD)

par SkyTech »

Relance AdwCleaner et prends Désinstaller.


Désactive aussi Java Quick Starter :

Panneau de configuration (de Windows) > Java > Avancé > Divers > Décocher Java Quick Starter.



C'est Ok :)

Finir le nettoyage :

Supprime :

C:\Program Files\Trend Micro\HijackThis\backups

Tu peux désinstaller\supprimer les programmes que nous avons utilisé via Ajout\Suppression de programmes du Panneau de configuration (XP) ou via désinstaller un programme (Vista / Seven)

Passe un coup de CCleaner (décoche la toolbar à l'installation)

Règle-le d'abord comme ici :

Image
  • Clique sur le Pinceau,
  • Lancer le Nettoyage.
  • Patiente,
  • Ensuite clique sur Registre,
  • Chercher des erreurs,
  • Une fois l'analyse terminer clique sur Réparer les erreurs sélectionnées,
  • CCleaner va te demander si tu veux Sauvegarder ou non, à toi de voir si tu le veux ou pas,
  • Clique sur Corriger toutes les erreurs sélectionnées,
  • OK,
  • Tu peux fermer CCleaner.
Défragmente ton DD avec MyDefrag.

Défragmente ta base de registre avec NTREGOPT (Pour Vista / Seven : Clique droit dessus, exécuter en tant qu'administrateur)

Pendant la défragmentation (assez rapide) avec NTREGOPT ne tente pas de faire quoique ce soit avec le PC, tu ne pourras pas !

Désactiver l'indexation des fichiers :
  • Poste de travail ou Ordinateur,
  • Clique-droit sur les disques durs,
  • Propriétés,
  • Décochez :
    • Sur Xp : Autoriser l'indexation de ce disque pour la recherche rapides de fichiers
    • Sur Vista : Indexer ce lecteur pour une recherche rapide
  • Appliquer les modifications à C:\et à tous les sous-dossiers et fichiers, si un message d'erreur apparaît cliquer sur Ignorer. Laissez faire.
Désactive puis réactive la restauration du système

@+
makhno
Messages : 75
Inscription : 20 nov. 2009 15:56

Re: PC bloqué / infection détectée [RESOLU]

par makhno »

Il ne me reste plus qu'à nettoyer dans les coins et tout sera nickel.
Merci pour tout !
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Windows : Résoudre les problèmes »