FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
#59220
PC  HP Pavilon DV 5000
Windows XP


PC Lent et Instable..

s'arrête et redémarre tout seul  ...
Impression difficiles voire impossible ... ou avec des caractères non lisibles ..


Bonjour,

Je ne sais pas si c'est à partir de ce PC que le PC SONY Vaio à été infecté ou inversement  (par clé USB)  Mais voilà... Après désinfection du Premier, c'est au tours de celui ci...

J'ai lancé un "USBFix" avec Disque dur et 1 clé USB connectés, mais arrivé à 52%, le PC affiche subitement une page sur fond bleu, pendant 1à 2 s puis s'éteint et redémarre tout seul... avec une invite Windows a envoyer un rapport suite a une erreur qui s'est produite...

Que ce passe t il???*


Merci de votre aide...
#59229
J'ai aussi retrouvé les rapports à la racine de C..
 
Voici le premier rapport  qui a été fait lors de la 1ere tentative en "mode normal", avec une clé et un DD de connectés...Le rapport n'est peut être pas complet...
 
############################## | UsbFix V 7.133 | [Suppression]
 
Utilisateur: Cléa (Administrateur) # PC-HP-DV5000
Mis à jour le 27/08/2013 par El Desaparecido
Lancé à 23:29:39 | 02/09/2013
 
Site Web: http://sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6t=489
Contact: eldesaparecido@sosvirus.net
 
PC: Hewlett-Packard (HP Pavilion dv5000 (RG009EA#ABF)  ) (X86-based PC)
CPU: Genuine Intel(R) CPU           T2050  @ 1.60GHz (1596)
RAM - [Total : 510 | Free : 153]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot
 
OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 6.0.2900.5512
 
SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]
 
C:\ (%systemdrive%) - Disque fixe # 66 Go (14 Go libre(s) - 22%) [] # NTFS
D:\ - Disque fixe # 7 Go (1 Go libre(s) - 18%) [HP_RECOVERY] # FAT32
E:\ - Disque amovible # 4 Go (2 Go libre(s) - 63%) [] # FAT32
F:\ - Disque fixe # 466 Go (17 Go libre(s) - 4%) [LACIE] # NTFS
 
################## | El Desaparecido Section |
 
HKLM\SOFTWARE | Run : [hpWirelessAssistant] - C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
HKLM\SOFTWARE | Run : [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM\SOFTWARE | Run : [NvMediaCenter] - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM\SOFTWARE | Run : [nwiz] - nwiz.exe /installquiet /nodetect
HKLM\SOFTWARE | Run : [High Definition Audio Property Page Shortcut] - CHDAudPropShortcut.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [QPService] - "C:\Program Files\HP\QuickPlay\QPService.exe"
HKLM\SOFTWARE | Run : [HP Software Update] - C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
HKLM\SOFTWARE | Run : [QlbCtrl] - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\SOFTWARE | Run : [Cpqset] - C:\Program Files\HPQ\Default Settings\cpqset.exe
HKLM\SOFTWARE | Run : [RecGuard] - C:\Windows\SMINST\RecGuard.exe
HKLM\SOFTWARE | Run : [HP Component Manager] - "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
HKLM\SOFTWARE | Run : [HPDJ Taskbar Utility] - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | Run : [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\sempalong.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Google Update] - "C:\Documents and Settings\Cléa\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Tok-Cirrhatus] - "C:\Documents and Settings\Cléa\Local Settings\Application Data\smss.exe"
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
 
################## | Processus Stoppés |
 
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1820)
Stoppé! C:\Program Files\Java\jre7\bin\jqs.exe (1972)
Stoppé! C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (152)
Stoppé! C:\WINDOWS\Explorer.exe (260)
Stoppé! C:\WINDOWS\system32\nvsvc32.exe (368)
Stoppé! C:\Program Files\Skype\Updater\Updater.exe (452)
Stoppé! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (1112)
Stoppé! C:\WINDOWS\system32\wuauclt.exe (1420)
Stoppé! C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe (1268)
Stoppé! C:\WINDOWS\system32\RUNDLL32.EXE (824)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (552)
Stoppé! C:\Program Files\HP\QuickPlay\QPService.exe (192)
Stoppé! C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe (1872)
Stoppé! C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe (1276)
Stoppé! C:\Program Files\HP\hpcoretech\hpcmpmgr.exe (1308)
Stoppé! C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe (1636)
Stoppé! C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (392)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (496)
Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (764)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\Google\Update\GoogleUpdate.exe (1340)
Stoppé! C:\Program Files\Skype\Phone\Skype.exe (1500)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (1680)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\winlogon.exe (2176)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\services.exe (2500)
Stoppé! C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE (2608)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\lsass.exe (2816)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe (3400)
Stoppé! C:\WINDOWS\system32\wuauclt.exe (2440)
 
################## | Éléments infectieux |
 
Supprimé! C:\Documents and Settings\Cléa\Application Data\7573595.exe
Supprimé! C:\Documents and Settings\Cléa\Local Settings\Application Data\Bron.tok-12-1
Supprimé! C:\Documents and Settings\Cléa\Local Settings\Application Data\Bron.tok-12-10
#59230
Et voici le rapport qui vient d'être créé en mode "Sans echec"

avec plantage aussi en cours d'analyse (52%)

############################## | UsbFix V 7.133 | [Suppression]

Utilisateur: Cléa (Administrateur) # PC-HP-DV5000
Mis à jour le 27/08/2013 par El Desaparecido
Lancé à 01:18:24 | 03/09/2013

Site Web: http://sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6t=489
Contact: eldesaparecido@sosvirus.net

PC: Hewlett-Packard (HP Pavilion dv5000 (RG009EA#ABF) ) (X86-based PC)
CPU: Genuine Intel(R) CPU T2050 @ 1.60GHz (1596)
RAM - [Total : 510 | Free : 351]
BIOS: Ver 1.00PARTTBL
BOOT: Fail-safe with network boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 6.0.2900.5512

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) - Disque fixe # 66 Go (15 Go libre(s) - 22%) [] # NTFS
D:\ - Disque fixe # 7 Go (1 Go libre(s) - 18%) [HP_RECOVERY] # FAT32
E:\ - Disque amovible # 4 Go (2 Go libre(s) - 63%) [] # FAT32
F:\ - Disque fixe # 466 Go (17 Go libre(s) - 4%) [LACIE] # NTFS

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [hpWirelessAssistant] - C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
HKLM\SOFTWARE | Run : [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM\SOFTWARE | Run : [NvMediaCenter] - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM\SOFTWARE | Run : [nwiz] - nwiz.exe /installquiet /nodetect
HKLM\SOFTWARE | Run : [High Definition Audio Property Page Shortcut] - CHDAudPropShortcut.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [QPService] - "C:\Program Files\HP\QuickPlay\QPService.exe"
HKLM\SOFTWARE | Run : [HP Software Update] - C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
HKLM\SOFTWARE | Run : [QlbCtrl] - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\SOFTWARE | Run : [Cpqset] - C:\Program Files\HPQ\Default Settings\cpqset.exe
HKLM\SOFTWARE | Run : [RecGuard] - C:\Windows\SMINST\RecGuard.exe
HKLM\SOFTWARE | Run : [HP Component Manager] - "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
HKLM\SOFTWARE | Run : [HPDJ Taskbar Utility] - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | Run : [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\sempalong.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Google Update] - "C:\Documents and Settings\Cléa\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-1744838932-353309017-3117134509-1006\SOFTWARE | Run : [Tok-Cirrhatus] - "C:\Documents and Settings\Cléa\Local Settings\Application Data\smss.exe"
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\Explorer.exe (388)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\winlogon.exe (820)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\services.exe (1104)
Stoppé! C:\Documents and Settings\Cléa\Local Settings\Application Data\lsass.exe (1112)

################## | Éléments infectieux |
#59295
Gabriel,

Pour USBfix, après téléchargement sur le lien que tu as donné, lorsque je lance l'exe, une fenêtre apparaît avec :

"Autolt Error"

"Line 16792 (File""): "

"Error: "Endif" statement wih no matching "If" statement"


merci pour ton retour et tes instructions...

Vincent
#59365
Pour la desinstallation, , j'ai fait comme indique par le panneau de conf puis ajout/suppression de prog...
Sur USBfix, j'ai fait "supprimer"


Comment je peux savoir si l'ancienne version est bien entièrement déesinstallée??

Par contre, pas essayé en mode sans echec...

Tu souhaite que j'essaie en mode sans échec??
je fais exactement de la même façon qu'en mode normal???

merci!

Vincent
#59400
Au lancement de l'exe, la fenêtre du tuto est apparue et avant m^me que j'ai eu le temps de cliquer sur "Scan/kill" l'écran bleu identique a celui que j'aeu sur USBfix hier soir est apparu pendant 2s puis le PC s'est éteint et rademarrer.... 
Avatar du membre
par g3n-h@ckm@n
#59478
salut comment se fait-il que l'outil ai proposé un menu vu que c'est son premier lancement ? tu l'as deja utilisé precedement ?
si c'est le cas , supprime le dossier Pre_Scan dans c:\ , ca permettra à l'outil de lancer un kill direct sans passer par le menu
#59488
J'ai essayé autre lien, mais même punition, même motif... le PC s’arrête tout seul et redémarre après l'apparition de la fenêtre "Pres_can".

Le PC est très lent et rame..
J'ai tout de même pu télécharger Malwarebytes... et effectuer sa mise a jour....
Le scan complet a été lancé et est actuellement en cours....
31 éléments ont déjà été détectés...

dès que terminé, je poste le rapport...


Par contre, je viens de me rendre compte que j'ai lancé le scan sans avoir connecté le disque dur...
Sera il possible de refaire le scan pour disque dur et les clé USB par la suite???

merci bcp...
#59491
Bonjour g3n-h@ckm@n

Je ne suis pas certain de bien comprendre ce que tu expliques... désolé, je ne suis pas très doué en informatique..

Pour l'outil, si cela répond a ta question, j'ai téléchargé Pre_scan pour la première fois tout a l'heure a la demande de Gabriel..
Tout c'est passé comme indiqué ds le tuto, la fen^tre Pre_scan est apparue, et avant même que j'ai pu cliquer sur "Scan/kill", une page bleu avec des inscriptions en blanc (la même que celle qui été apparue hier soir lorsque j'ai tenté de lancer "usbfix"), c'est affichée pendant environ 1 à 2 secondes puis le PC s'est éteint et a redémarré tout seul.. (idem qu'avec les tentatives "Usbfix") (j'ai réussi a prendre une photo de l'écran...)

j'ai re-essayé en mode "ss échec" et c'était idem, et aussi avec un des autre lien de chargement indiqué dans le tuto...

si je peux vous donner d'autres détails, n'hésitez pas a demander..


c'set quoi le lien cjoint que tu as envoyé??? je dois l'ouvrir???
Avatar du membre
par g3n-h@ckm@n
#59492
c'est une capture d'ecran comme quoi pre_scan supprime une partie de brontok mais pas tout comme expliqué il se relance au redemarrage

bonne suite.....je pense pas que brontok soit tout seul dans ce pc
Avatar du membre
par g3n-h@ckm@n
#59511
hello ne videz pas les quarantaines tout de suite , j'ai contacté cedric voir s'il veut recuperer quelque chose

edit::

bon il va falloir que tu fasses quelque chose pour l'amelioration d'usbfix

touche windows + R puis tape ou colle : "C:\Documents and Settings\Cléa\Local Settings\Application Data"

un dossier s'ouvre , garde-le ouvert

ensuite ouvre malwarebytes puis restaure :

C:\Documents and Settings\Cléa\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Cléa\Local Settings\Application Data\services.exe
C:\Documents and Settings\Cléa\Local Settings\Application Data\lsass.exe


envoie-les un à un sur http://www.sosvirus.net/upload_malware.php

une fois les trois envoyés , tu les supprimes avec la touche maj au dessus de CTRL gauche enfoncée (ca evite de les mettre dans la corbeille , ca les supprime definitivement)
#59516
Bonjour,

Je suppose que je dois tenter "USBFix" en version normale, et non pas celle du lien que tu m'avais envoyé dans un second temps....

Pour la manip demandée par g3n-h@ckm@n, je crois avoir compris comment faire au départ, mais ensuite, pas certain d'avoir compris comment les envoyer...

Dois je faire cela avant de lancer "USBFix"???

Un autre petit point a te signaler.. lors du 1er redémarage apres le scan Malwarebytes heir soir, un message est apparu avec :
"Windows ne trouve pas "C:\windows\eksplorasi.exe". Vérifier que vous avez entré le nom correctement et essayez de nouveau. Pour rechercher un fichier, cliquez sur le bouton démarrer, puis rechercher "


Il ne m'a plus fait cela ce matin au re-démarrage..

est ce important??

merci pour tes retour sur les 3 points .   
#59519
Ok, cela parait très simple ..

Il n'y a aucun risque de restaurer ces fichiers ???

Si je comprends bien, une fois le dossier "C:\Documents and Settings\Cléa\Local Settings\Application Data" ouvert, au moment où je vais faire restaure, le fichier va disparaitre de la quarantaine, et apparaitre dans le dossier resté ouvert...

Je fais ça pour les 3 et je les envoie..par le site...
ensuite je fais pour chaque la suppression comme indiqué... et cela ne risque rien pour le PC et la desinfection??

Désolé, mes questions te paraissent certainement très idiotes, mais je ne voudrais surtout pas faire de bêtises...

As tu une idée sur le fichier que Windows ne trouvait pas... est ce important???
#59521
Hello,

dans le dossier C:\Documents and Settings\Cléa\Local Settings\Application Data", je vois , avant d'effectuer les restauration, il y a deux fichier avec ces noms:

"Bron.tok.A12.em" (fichier media .bin) 13ko
"Kosong.Bron.tok" (Document texte) 1ko

????

Bonjour à tous, Je possede une config pc […]

Modèle 16R5 pour être précis. […]

je passe par un routeur intermediare TENDA entre f[…]

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]