Eléments Cachés Par Des Rootkits [Résolu]

Bonjour à tous,


:huh: Depuis une semaine, à chaque analyse j'ai ça qui apparaît:


sanstitrekv.png


J'ai donc choisi "rendre visible", et voilà la suite:


sanstitre2xp.png


Le problème, c'est que après avoir redémarré le système, la prochaîne analyse donne exactement le même résultat!


Je l'ai fait un paquet de fois, et j'abandonne!


Qu'est ce que ça veut dire? Dois je m'inquiéter?


Que dois-je faire pour résoudre ce problème? Une idée?


Merci d'avance!! :rolleyes:

«1

Réponses

  • fedor
    fedor Defender of the month mod
    Bonjour à tous,


    :huh: Depuis une semaine, à chaque analyse j'ai ça qui apparaît:


    sanstitrekv.png


    J'ai donc choisi "rendre visible", et voilà la suite:


    sanstitre2xp.png


    Le problème, c'est que après avoir redémarré le système, la prochaîne analyse donne exactement le même résultat!


    Je l'ai fait un paquet de fois, et j'abandonne!


    Qu'est ce que ça veut dire? Dois je m'inquiéter?


    Que dois-je faire pour résoudre ce problème? Une idée?


    Merci d'avance!! :rolleyes:

    bonjour aware quel est le nom de la menace?bon courage.
  • bonjour aware quel est le nom de la menace?bon courage.


    Bonjour Fedor et merci de t'intéresser à mon cas.


    Ta question est excellente. :mellow: et je n'ai pas d'élément de réponse!!


    Dès l'instant où je sélectionne "rendre visible" BD me dit que le problème est résolu, et ça, à chaque analyse. Je ne suis même pas sûr qu'il y ait une réelle menace!


    Je regarderai dans le journal à la fin de la prochaîne analyse pour essayer de répondre à ta question. A moins qu'il faille chercher ailleurs...? :huh:


    A très bientôt

  • BenoîtHP
    Modifié (mai 2010)

    Voilà donc , inscrit tout à la fin du journal, paragraphe "problème résolus" chemin d'accès à l'objet comme ci-dessous:


    sanstitre3zj.png


    Que me conseilles tu de faire?


    Le supprimer (si j'y parviens..)


    Merci encore ;)

  • Bonsoir


    Que me conseilles tu de faire?


    Le supprimer (si j'y parviens..)


    Heuuu vu le nom du site, je ne sais pas si tu l'as visité, mais ça ne m'étonne qu'à moitié que tu ais récupéré une saleté.


    A mon avis si c'est vraiment un rootkit, tu vas avoir un peu de mal à le virer.


    Si Bd te dis qu'il a résolu le problème alors qu'il est toujours là, essayes quand-même de l'effacer en mode sans echec.


    Sinon il va falloir un outil spéé pour le virer, ou l'intervention de Yann.


    A+

  • Bonsoir


    Heuuu vu le nom du site, je ne sais pas si tu l'as visité, mais ça ne m'étonne qu'à moitié que tu ais récupéré une saleté.


    A mon avis si c'est vraiment un rootkit, tu vas avoir un peu de mal à le virer.


    Si Bd te dis qu'il a résolu le problème alors qu'il est toujours là, essayes quand-même de l'effacer en mode sans echec.


    Sinon il va falloir un outil spéé pour le virer, ou l'intervention de Yann.


    A+

  • Bonjour ricouz et merci pour ton aide, (ouppps j'ai loupé mon édition ci-dessus, je recommence.... désolé)


    Bonsoir


    Heuuu vu le nom du site, je ne sais pas si tu l'as visité, mais ça ne m'étonne qu'à moitié que tu ais récupéré une saleté.


    C'est la réflexion que je me suis faite.


    J'ai paramétré le contrôle parental depuis sur la session utilisateur.


    A mon avis si c'est vraiment un rootkit, tu vas avoir un peu de mal à le virer.


    Si Bd te dis qu'il a résolu le problème alors qu'il est toujours là, essayes quand-même de l'effacer en mode sans echec.


    Sinon il va falloir un outil spéé pour le virer, ou l'intervention de Yann.


    A+


    Effectivement le dossier dont tu parles ne peut pas être supprimé et l'erreur suivante apparaît:


    "Impossible de supprimer Fichier : Impossible de lire à partir du fichier ou de la disquette source"


    ... et idem en mode sans echec. J'ai essayé aussi BD mais il ne fonctionne pas dans ce mode.


    J'ai également fait un nettoyage avec Ccleaner (en mode normal)...pas mieux


    De quel outil spécial de nettoyage parles tu? Tu en connais?

  • De quel outil spécial de nettoyage parles tu? Tu en connais?


    J'ai téléchargé Kill box et je viens de le lancer mais il plante de suite en affichant ceci:


    sanstitre4qs.png


    C'est bien ma veine....

  • fedor
    fedor Defender of the month mod
    J'ai téléchargé Kill box et je viens de le lancer mais il plante de suite en affichant ceci:


    sanstitre4qs.png


    C'est bien ma veine....

    bonjour aware tu fait ce que t veut c'est ta vie privee mais aller sur ce genre de site tu sait tres bien les risques encouru.comme le dit ricouz voir avec -yann- ou envoye un e-mail au support technique.il te donnerons la procedure a suivre s'il y as vraiment infection.je te conseil de ne pas faire n'importe quoi car en voulant desinfecter tous seul c'est tres risquer pour ton pc.le support technique m'a deja envoyer plusieurs procedure a suivre et franchement c'est tres risquer si tu ne suit pas a la lettre.je ne vait pas te les donner car d'un probleme a un autre ce n'est pas la meme chose,et apres tu viendra dire que ton pc ne fonctionnent plus a cause d'une personne du forum.pour information nous ne somme des techniciens mais juste des personnes comme toi.a part en dessous des pseudo ou c'est noter support technique comme -yann-,-max-,-jb- etccccccc.bon courage et bon week end a toi.
  • bonjour aware tu fait ce que t veut c'est ta vie privee mais aller sur ce genre de site tu sait tres bien les risques encouru.comme le dit ricouz voir avec -yann- ou envoye un e-mail au support technique.il te donnerons la procedure a suivre s'il y as vraiment infection.je te conseil de ne pas faire n'importe quoi car en voulant desinfecter tous seul c'est tres risquer pour ton pc.le support technique m'a deja envoyer plusieurs procedure a suivre et franchement c'est tres risquer si tu ne suit pas a la lettre.je ne vait pas te les donner car d'un probleme a un autre ce n'est pas la meme chose,et apres tu viendra dire que ton pc ne fonctionnent plus a cause d'une personne du forum.pour information nous ne somme des techniciens mais juste des personnes comme toi.a part en dessous des pseudo ou c'est noter support technique comme -yann-,-max-,-jb- etccccccc.bon courage et bon week end a toi.


    Bonjour Fedor,


    Je te remercie encore pour tes conseils. Je suis tout à fait conscient des risques dont tu parles et même si ça n'est pas moi qui ai "fréquenté", c'est moi le père de famille j'en assume donc la responsabilité. Ma solution radicale a été de paramétrer le filtre parental comme je l'ai dit. Tu dois peut-être connaître cette situation puisque tu dis avoir déjà eu besoin du support technique pour désinfecter...


    En m'intéressant à l'indication de ricouz concernant les "outils spéés", j'ai téléchargé Killbox qui est un petit logiciel déjà ancien qui permet de détruire des fichiers récalcitrants lorsque windows n'y arrive pas, apparemment de nombreux sites d'informatique le recommandent dans ce cas. Comme tu le dis je suis simple utilisateur et je n'aurai pas tenté le premier logiciel venu.


    Pas de bol, il ne démarre même pas sur mon ordinateur. Peut être que celà vaut mieux.


    J'attends donc une réponse d'un support technique, ce qui était mon souhait du départ, le mot "rootkit" étant nouveau pour moi.


    Concernant une éventuelle infection, pour l'instant seul le résultat de l'analyse de BD semble être modifié, sans doute à cause de ce dossier ineffaçable. Il n'y a pas d'autres symptômes apparents.


    En attendant je vous souhaite un bon week-end.

  • jessi59
    jessi59 ✭✭✭
    bonjour aware tu fait ce que t veut c'est ta vie privee mais aller sur ce genre de site tu sait tres bien les risques encouru.comme le dit ricouz voir avec -yann- ou envoye un e-mail au support technique.il te donnerons la procedure a suivre s'il y as vraiment infection.je te conseil de ne pas faire n'importe quoi car en voulant desinfecter tous seul c'est tres risquer pour ton pc.le support technique m'a deja envoyer plusieurs procedure a suivre et franchement c'est tres risquer si tu ne suit pas a la lettre.je ne vait pas te les donner car d'un probleme a un autre ce n'est pas la meme chose,et apres tu viendra dire que ton pc ne fonctionnent plus a cause d'une personne du forum.pour information nous ne somme des techniciens mais juste des personnes comme toi.a part en dessous des pseudo ou c'est noter support technique comme -yann-,-max-,-jb- etccccccc.bon courage et bon week end a toi.


    bonjour;


    pour rendre service a la communauté quelqu'un pourait t'il nous dire ce qu'est exactement ce genre de site, afin d'eviter de tomber dans les memes pieges?....j'imagine que ca doit etre un site de partage ou de photos quelque chose comme ca!?... :rolleyes:

  • bonjour;


    pour rendre service a la communauté quelqu'un pourait t'il nous dire ce qu'est exactement ce genre de site, afin d'eviter de tomber dans les memes pieges?....j'imagine que ca doit etre un site de partage ou de photos quelque chose comme ca!?... :rolleyes:


    Non, là, c'est du pornographique vu le nom.

  • ricouz
    Modifié (mai 2010)

    Si tu veux désinfecter rapidement ta machine tu peux toujours aller sur un site de helper.


    Je peux te conseiller 2 sites particulièrement, http://forum.malekal.com/ ou http://assiste.forum.free.fr/index.php où il existe une rubrique spéciale rootkit avec une spéte nickW.


    Le premier forum est plus fréquentée que le 2°, un conseil, par contre ne demande pas de l'aide sur les 2 forums en même temps, une seule procédure de désinfection à la fois.


    Bonne journée.

  • J'ai téléchargé Kill box et je viens de le lancer mais il plante de suite en affichant ceci:


    sanstitre4qs.png


    C'est bien ma veine....


    Pour ce problème, c'est une bibliothèque de controle de windows qui à priori est mal enregistrée et kill box en a besoin.


    Normalement elle se trouve dans c:\windows\system32.


    Vérifie qu'elle s'y trouve et si elle est présente


    - tu passes en mode commande (executer cmd)


    - ensuite suivant la version de windows que tu utilises il faut être administrateur pour pouvoir exécuter regsvr32 C:\windows\system32\MSCOMCTL.OCX


    Si la bibliothèque n'est pas présente tu la récupères sur le site de microsoft et tu fais ce que j'ai indiqué ci-dessus.


    Attention je ne connais pas kill box, ne te lance pas dans une désinfection hasardeuse si tu ne connais pas. Tu risques de faire plus de dégat qu'autre chose.


    Bon courage

  • Si tu veux désinfecter rapidement ta machine tu peux toujours aller sur un site de helper.


    Je peux te conseiller 2 sites particulièrement, http://forum.malekal.com/ ou http://assiste.forum.free.fr/index.php où il existe une rubrique spéciale rootkit avec une spéte nickW.


    Le premier forum est plus fréquentée que le 2°, un conseil, par contre ne demande pas de l'aide sur les 2 forums en même temps, une seule procédure de désinfection à la fois.


    Bonne journée.


    Salut ricouz,


    Je te remercie bien. C'est d'ailleurs chez Malekal que j'ai trouvé le lien vers Killbox en faisant une recherche.


    Mais vu les faibles symptômes ma machine est elle réellement infectée?


    Je préfère pour le moment attendre un prédiagnostic d'un spéte BD qui me dira vers quelle direction je dois m'orienter.


    Bonne journée à toi également.

  • Oupss, nos mails se sont croisés!


    Pour ce problème, c'est une bibliothèque de controle de windows qui à priori est mal enregistrée et kill box en a besoin.


    Normalement elle se trouve dans c:\windows\system32.


    Vérifie qu'elle s'y trouve et si elle est présente


    - tu passes en mode commande (executer cmd)


    - ensuite suivant la version de windows que tu utilises il faut être administrateur pour pouvoir exécuter regsvr32 C:\windows\system32\MSCOMCTL.OCX


    Si la bibliothèque n'est pas présente tu la récupères sur le site de microsoft et tu fais ce que j'ai indiqué ci-dessus.


    Effectivement ce fichier n'existe pas , car la commande regsvr32 me donne "Le module spécifié est introuvable".

  • Sinon pour les virus de ce type tu peut utiliser Malwarebytes pour supprimer des virus de ce type fait une analyse complète la première fois et tu verra si ta bien des virus http://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html.

  • Sinon pour les virus de ce type tu peut utiliser Malwarebytes pour supprimer des virus de ce type fait une analyse complète la première fois et tu verra si ta bien des virus http://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html.


    Bonjour à tous,


    Avant que je ne tente quoi que ce soit,(vu que mon ordinateur fonctionne bien) est ce quelqu'un du support technique peut répondre à mon premier post?


    En vous remerciant d'avance,


    A bientôt...

  • Bonjour,


    Le fichier concerné a été renommé par BitDefender, il faut donc après que le fichier ait été renommé par l'analyse, redémarrer Windows et relancer une analyse approfondie pour que le fichier renommé soit supprimé. Evidément, il faut éviter de retourner sur le site concerné.


    Si ces opérations d'analyse ne permettent pas de supprimer cet élément, veuillez s'il vous plaît suivre les manipulations ci-dessous :


    - Tout d'abord, téléchargez et installez Ccleaner :


    http://www.clubic.com/telecharger-fiche144...ap-cleaner.html


    - Une fois installé, ouvrez BitDefender, cliquez sur le bouton 'Mode avancé' en haut s'il apparait, puis cliquez sur l'onglet Antivirus. Décochez 'Protection en temps réel activée', choisissez 'En permanence' dans le menu déroulant qui apparait.


    - Ouvrez Ccleaner, cliquez sur l'onglet 'Nettoyer' puis cliquez sur le bouton 'Nettoyer' en bas à droite


    - Une fois que cette opération est terminée, cliquez sur l'onglet 'Applications' en haut, vérifiez que les navigateurs qui sont installés sur votre système ont bien tous 'cache' de coché. Vérifiez également que sous 'Multimédia', Adobe Flash Player soit bien coché. Vous pouvez décocher le reste.


    - Cliquez sur le bouton 'Nettoyer' en bas


    - Une fois que c'est terminé, réactivez la protection en temps réel et relancez une analyse approfondie avec BitDefender


    Si l'élément est toujours détecté, suivez les manipulations ci-dessous :


    - Tout d'abord soyez certain d'avoir une sauvegarde récente de tous vos documents et fichiers importants sur un disque externe avant de commencer les opérations.


    * Téléchargement du programme Combofix


    Téléchargez le programme Combofix, sauvegardez le sur votre disque dur C (à la racine) :


    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    * Redémarrage en mode sans échec


    Redémarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, avant que Windows démarre, tapez sur la touche F8 successivement jusqu'à ce qu'un menu de démarrage apparaisse).


    * Nettoyage avec Combofix


    Une fois en mode sans échec...


    - Exécutez combofix depuis l'endroit où vous l'avez sauvegardé (normalement sur C: à la racine). Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)


    - Ensuite quand il vous sera proposer le 'disclamer', appuyez sur 1 pour continuer


    - Combofix va lancer la sauvegarde du registre puis commencer le nettoyage


    (il va surement vous déconnecter d'internet, c'est normal)


    Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.


    - Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.


    ( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)


    * Une fois l'analyse avec Combofix terminée, relancez une analyse avec BitDefender pour vérifier si l'élément est toujours détecté. Si c'est le cas, merci de suivre les manipulations ci-dessous et me renvoyer les fichiers demandés qui permettront d'anlayser votre système et de vérifier s'il est toujours infecté :


    Captures d'écran


    - cliquez sur Démarrer puis dans Exécuter (ou Rechercher sur Vista), tapez :


    ncpa.cpl


    - validez par la touche Entrée


    - cliquez avec le bouton droit de la souris sur l'icône représentant votre connexion, sélectionnez 'propriétés'


    - faites une première copie d'écran de ce qui apparait


    - puis cliquez sur le bouton 'Configurer', cliquez ensuite sur l'onglet 'Pilote'


    - faites une autre copie d'écran


    - ensuite ouvrez le panneau de configuration puis double-cliquez sur Système


    - cliquez sur l'onglet Matériel puis sur l'onglet Gestionnaire de périphériques


    - cliquez sur le menu Affichage et cliquez sur Afficher les périphériques cachés


    - agrandissez la fenêtre au maximum, puis cliquez sur le + devant 'Pilotes non plud and play'


    - faites une autre copie d'écran de ce qui apparait (on doit voir tous les pilotes non plug and play, toute la liste) et faites moi parvenir cette capture d'écran.


    Si vous ne savez pas en faire voici le lien qui vous explique comment faire:


    http://www.astwinds.com/astuces/captureecran.html


    Rapports du système


    1. Rendez vous sur notre site au lien ci-dessous :


    http://logs.supportbd.com


    Cliquez sur le bouton "Cliquez ici pour générer le rapport" puis exécuter le fichier "Infralogs" qui sera proposé.


    Une fenêtre s'ouvrira où un bouton vous proposera d'envoyer automatiquement les éléments, ceci fait un numéro de dossier vous sera donné qu'il faudra nous communiquer en réponse.


    2. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):


    http://www.clubic.com/lancer-le-telecharge...hijackthis.html


    Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus


    d'informations sur votre problème vous devez :


    - cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare


    - choisir le bouton "Do a system scan and save a logfile"


    3. Veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :


    ftp://ftp.editions-profil.fr/support/runscanner1-6.exe


    - Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".


    - Cliquez en bas sur "Start full computer scan".


    - Un écran s'affichera pour vous proposer l'enregistrement d'un fichier qu'il faudra ensuite nous faire parvenir en pièces jointes


    Pour me faire parvenir l'ensemble des fichiers demandés, utilisez le système d'hébergement de fichier gratuit de Free sur http://dl.free.fr Une fois que les fichier sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.


    Cordialement,


    Yann


    Bonjour à tous,


    Avant que je ne tente quoi que ce soit,(vu que mon ordinateur fonctionne bien) est ce quelqu'un du support technique peut répondre à mon premier post?


    En vous remerciant d'avance,


    A bientôt...

  • Bonjour Yann et merci pour votre réponse rapide.


    Ce soir je ne suis pas chez moi, donc demain je m'attelle aux manipulations.


    Donc à bientôt au "rapport" :rolleyes:

  • Bonjour,


    Premiers éléments de réponse, hélas négatifs.:huh:


    Ccleaner:


    1/J'ai noté que dans l'onglet applications, le navigateur n'apparaît pas (IE8 pour moi)


    2/Détail: dans la session utilisateur Ccleaner est en anglais (?????) mais bien en Français en session admin


    Combofix en mode sans échec:


    Il m'a alerté que Bitdefender était actif en spécifiant qu'il pouvait le géner, alors j'ai voulu le désactiver mais la fenêtre de BD bloque sur la fenêtre "les services de Bitdefender sont en chargement" (à cause du mode sans échec?)


    Mais Combofix continue quand même...


    Plus loin il m'indique que la console de récupération ne semble pas installée.


    Mais il continue....


    Je n'ai pas eu de demande de Disclaimer


    Il y a eu 50 étapes


    Bitdefender s'est lancé tout seul à la fin avec toujours la même fenêtre "services BD en chargement"


    Je relance donc en Windows normal


    Analyse BD approfondie détecte toujours un élément caché par rootkit comme cité au 1°post. Idem après redémarrage.


    J'attaque donc la suite


    A+

  • BenoîtHP
    Modifié (mai 2010)

    Rebonjour,


    La suite:


    le dossier infralog est le 1810430


    Les copies d'écran se trouvent là:


    http://dl.free.fr/oqbBcvTun


    http://dl.free.fr/jOVZznMEL


    http://dl.free.fr/jAFAb0int


    Je n'ai pas réussi à faire traiter le rapport HJT, alors je le mets ici en espérant que celà convienne:


    Logfile of Trend Micro HijackThis v2.0.4


    Scan saved at 23:52:50, on 18/05/2010


    Platform: Windows XP SP3 (WinNT 5.01.2600)


    MSIE: Internet Explorer v8.00 (8.00.6001.18702)


    Boot mode: Normal


    Running processes:


    C:\WINDOWS\System32\smss.exe


    C:\WINDOWS\system32\winlogon.exe


    C:\WINDOWS\system32\services.exe


    C:\WINDOWS\system32\lsass.exe


    C:\WINDOWS\system32\svchost.exe


    C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe


    C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe


    C:\WINDOWS\System32\svchost.exe


    C:\WINDOWS\system32\spoolsv.exe


    C:\WINDOWS\system32\nvsvc32.exe


    C:\WINDOWS\system32\svchost.exe


    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE


    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe


    C:\WINDOWS\Explorer.EXE


    C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe


    C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe


    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe


    C:\WINDOWS\system32\RUNDLL32.EXE


    C:\WINDOWS\system32\ctfmon.exe


    C:\Program Files\e-Carte Bleue La Banque Postale\ecbl-lbp.exe


    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe


    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe


    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe


    C:\WINDOWS\System32\svchost.exe


    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe


    C:\Program Files\Internet Explorer\IEXPLORE.EXE


    C:\Program Files\Internet Explorer\IEXPLORE.EXE


    C:\Program Files\Internet Explorer\IEXPLORE.EXE


    C:\WINDOWS\system32\wuauclt.exe


    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/


    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157


    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896


    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896


    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157


    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens


    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll


    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll


    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll


    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1


    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup


    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install


    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit


    O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"


    O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"


    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"


    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"


    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')


    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')


    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


    O4 - Global Startup: e-Carte Bleue La Banque Postale.lnk = C:\Program Files\e-Carte Bleue La Banque Postale\ecbl-lbp.exe


    O4 - Global Startup: hp psc 1000 series.lnk = ?


    O4 - Global Startup: hpoddt01.exe.lnk = ?


    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1269129393750


    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab


    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll


    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll


    O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe


    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe


    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe


    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe


    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe


    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe


    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe


    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe


    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe


    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe


    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe


    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe


    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe


    --


    End of file - 6873 bytes


    Je n'arrive pas non plus à télécharger le rapport runscanner.run dans free


    curieux... pas d'autre hébergeur possible?


    J'essaierai un peu plus tard...


    A bientôt

  • Re,


    tiens donc le lien pourHJT est arrivé de free qui m'a l'air bien encombré!


    Le voici si besoin:


    http://dl.free.fr/c48fSPHGs


    A bientôt pour le runscanner!

  • Yann A.
    Yann A. mod
    Modifié (mai 2010)

    Bonjour,


    Il est normal que BitDefender ne se lance pas en mode sans échec. Ses services, programmes et pilotes ne sont pas chargés. Le mode sans échec est un mode de dépannage qui justement ne charge que l'essentiel et ne prend pas en compte ce qu'a installé les logiciels et les périphériques secondaires.


    Vous n'avez pas renvoyé le rapport combofix dont j'ai besoin pour vérifier ce qu'il a pu faire ou ne pas faire, et ce qu'il a trouvé comme fichiers suspets. D'ailleurs il faudrait relance Combofix en 'Mode sans échec avec prise en charge réseau' (il faut donc que la connexion ethernet soit activée), comme demandé précédement, mais en désactivant la protection en temps réel de BitDefender en mode normal de Windows, en permanence. Pour qu'au redémarrage en mode normal, quand les étapes de Combofix auront toutes été complétées, la protection de BitDefender n'empêche pas la fin de nettoyage de Combofix.


    Un fichier combofix.txt est créé à la fin des opérations, il se trouve sur C: à la racine, faites le moi parvenir s'il vous plaît.


    En attendant j'examine le rapport Infralog que vous m'avez fait parvenir.


    Cordialement,


    Yann


    Bonjour,


    Premiers éléments de réponse, hélas négatifs.:huh:


    Ccleaner:


    1/J'ai noté que dans l'onglet applications, le navigateur n'apparaît pas (IE8 pour moi)


    2/Détail: dans la session utilisateur Ccleaner est en anglais (?????) mais bien en Français en session admin


    Combofix en mode sans échec:


    Il m'a alerté que Bitdefender était actif en spécifiant qu'il pouvait le géner, alors j'ai voulu le désactiver mais la fenêtre de BD bloque sur la fenêtre "les services de Bitdefender sont en chargement" (à cause du mode sans échec?)


    Mais Combofix continue quand même...


    Plus loin il m'indique que la console de récupération ne semble pas installée.


    Mais il continue....


    Je n'ai pas eu de demande de Disclaimer


    Il y a eu 50 étapes


    Bitdefender s'est lancé tout seul à la fin avec toujours la même fenêtre "services BD en chargement"


    Je relance donc en Windows normal


    Analyse BD approfondie détecte toujours un élément caché par rootkit comme cité au 1°post. Idem après redémarrage.


    J'attaque donc la suite


    A+

  • ricouz
    Modifié (mai 2010)

    Bonjour


    J'ai fait faire une analyse automatique du log hijack et j'y est jeté un œil et à priori hijack ne détecte rien.


    Ce qui ne veut pas dire qu'il n'y a pas de problème, cela veut juste dire que dans les parties analysées par hj il ne détecte rien.


    A+

  • Bonjour,


    Il n'y a rien de particulier dans le hijackthis effectivement ainsi que le rapport Infralog que vous m'avez fait parvenir.


    J'attends donc la suite des manipulations que j'ai indiqué plus haut (visible ci-dessous également).


    Cordialement,


    Yann


    Bonjour,


    Il est normal que BitDefender ne se lance pas en mode sans échec. Ses services, programmes et pilotes ne sont pas chargés. Le mode sans échec est un mode de dépannage qui justement ne charge que l'essentiel et ne prend pas en compte ce qu'a installé les logiciels et les périphériques secondaires.


    Vous n'avez pas renvoyé le rapport combofix dont j'ai besoin pour vérifier ce qu'il a pu faire ou ne pas faire, et ce qu'il a trouvé comme fichiers suspets. D'ailleurs il faudrait relance Combofix en 'Mode sans échec avec prise en charge réseau' (il faut donc que la connexion ethernet soit activée), comme demandé précédement, mais en désactivant la protection en temps réel de BitDefender en mode normal de Windows, en permanence. Pour qu'au redémarrage en mode normal, quand les étapes de Combofix auront toutes été complétées, la protection de BitDefender n'empêche pas la fin de nettoyage de Combofix.


    Un fichier combofix.txt est créé à la fin des opérations, il se trouve sur C: à la racine, faites le moi parvenir s'il vous plaît.


    En attendant j'examine le rapport Infralog que vous m'avez fait parvenir.


    Cordialement,


    Yann

  • BenoîtHP
    Modifié (mai 2010)

    Bonjour et merci à tous les deux pour votre patience,


    Voici le lien pour le rapport runscanner de hier (en fait la fin du test crée deux fichiers l'un (.run) ressemble à une fenêtre où l'on peut fixer, l'autre est un log, c'est celui ci que j'ai mis en ligne sur free)


    http://dl.free.fr/cY5EIR0h7


    Comme vous me l'indiquez, j'ai donc relancé Combofix en mode sans echec avec prise en charge réseau après avoir désactivé BD.


    Il m'a demandé une mise à jour plus récente que j'ai accepté, puis l'installation de la "console de récupération" dont il me dit avoir besoin.


    Pas d'autre message durant le scan.


    Lien combofix:


    http://dl.free.fr/cXk46vMbw


    En espérant que le téléchargement ait fonctionné.


    A bientôt


    Aware

  • Bonjour,


    Je ne peux télécharger les fichiers car un login et un mot de passe sont demandés.


    Si vous en avez paramétrer, merci de me les communiquer.


    Cordialement,


    Yann


    Bonjour et merci à tous les deux pour votre patience,


    Voici le lien pour le rapport runscanner de hier (en fait la fin du test crée deux fichiers l'un (.run) ressemble à une fenêtre où l'on peut fixer, l'autre est un log, c'est celui ci que j'ai mis en ligne sur free)


    http://dl.free.fr/cY5EIR0h7


    Comme vous me l'indiquez, j'ai donc relancé Combofix en mode sans echec avec prise en charge réseau après avoir désactivé BD.


    Il m'a demandé une mise à jour plus récente que j'ai accepté, puis l'installation de la "console de récupération" dont il me dit avoir besoin.


    Pas d'autre message durant le scan.


    Lien combofix:


    http://dl.free.fr/cXk46vMbw


    En espérant que le téléchargement ait fonctionné.


    A bientôt


    Aware

  • Bonjour,


    Je ne peux télécharger les fichiers car un login et un mot de passe sont demandés.


    Si vous en avez paramétrer, merci de me les communiquer.


    Cordialement,


    Yann


    Bonjour Yann,


    J'avoue ne pas très bien maîtriser ce service d'hébergement.


    Je n'avais jamais utilisé ce site auparavant, et j'ai bien donné un mot de passe parce qu'on le demande (à moins qu'il ne soit pas obligatoire?) mais je ne me suis jamais logué, ni procédé à un inscription.


    Ce qui fait que moi-même, comme vous apparemment , n'ai accès au fichier!


    Donc vous n'avez pas non plus pu regarder les copies d'écran demandées.


    Peut-être devrais-je essayer sans donner un mot de passe?


    Si vous préférez je colle tous les résultats sur ce fil (en fin d'après-midi car je suis actuellement sur mon lieu de travail).

  • Ok j'ai vu ça fonctionne sans mot de passe.


    Désolé pour la bourde. :huh:


    Je recommence en fin d'après midi.


    A bientôt

  • Bonjour,


    Je ne vois rien de particulier dans les rapports, il s'agit peut-être d'un faux-positif mais pour en être sur il faudrait pouvoir récupérer le fichier.


    Avez-vous essayé de supprimer manuellement le dossier #defloration.com. ?


    Ou avez-vous essayé de désinstaller complètement Flash Player puis de le réinstaller en récupérant la dernière version de Flash Player depuis le site d'Adobe ?


    Si ces précédentes manipulations ne donnent rien, une fois que le fichier a été renommé par l'analyse BitDefender (et après redémarrage de Windows), pouvez-vous récupérer le fichier renommé et détecté par BitDefender, me le faire parvenir dans une archive zip (protégée par mot de passe : bitdefender) ?


    Egalement pour faire parvenir tous les éléments suceptibles d'aider mes collègues à vérifier si le système est infecté ou non, merci de suivre les manipulations ci-dessous et me retourner les fichiers demandés :


    Rapport analyse contre les rootkits :


    - Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :


    http://www.gmer.net/gmer.zip


    - Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque


    - Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:


    - Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine. A la fin de l'analyse, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau). Faites nous parvenir le fichier texte ainsi créé.


    Log Avis :


    - Téléchargez et enregistrez le fichier suivant sur votre bureau :


    http://www.bitdefender.com/files/KnowledgeBase/file/AVIS.zip


    - Une fois le fichier sauvegardé, décompressez le, un dossier Avis sera créé


    - Dans ce dossier, exécutez le programme AVIS


    - Dans la fenêtre qui s'ouvrira, cliquez sur l'onglet 'System Info'


    - Cliquez sur le bouton 'Create log'


    - Une fois l'analyse terminée, un fichier nommé bd_sys_log.xml sera créé sur le bureau, faites nous parvenir ce fichier


    Cordialement,


    Yann


    Bonjour Yann et merci pour votre réponse rapide.


    Ce soir je ne suis pas chez moi, donc demain je m'attelle aux manipulations.


    Donc à bientôt au "rapport" :rolleyes:

  • Avez-vous essayé de supprimer manuellement le dossier #defloration.com. ?


    Ou avez-vous essayé de désinstaller complètement Flash Player puis de le réinstaller en récupérant la dernière version de Flash Player depuis le site d'Adobe ?


    Oui, mais il est inaccessible, sans doute à cause du suffixe avec point ".com." voir message ci-dessous:


    Impossible de supprimer Fichier : Impossible de lire à partir du fichier ou de la disquette source


    Je ne peux pas non plus le copier. Il existe un autre dossier inaccessible du même nom sans le # dont le chemin est:


    C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\#SharedObjects\B3RX4ASL\defloration.com.


    Même message.


    Quand au fichier, il est invisible puisque le dossier mère est inouvrable, copie d'écran ci-dessous:


    http://dl.free.fr/gaxGGYSfj


    J'essaye de désinstaller flashplayer avec Ccleaner et je vous tiens au courant

  • Le fichier introuvable dont je parle ci-dessus est le fichier renommé par BD.


    Suite...


    Aucun changement près désinstallation + effacer clés orphelines par Ccleaner puis réinstallation de Flash Player 10.


    Gmer me pose souçis:


    Après téléchargement je l'ai dézippé dans la racine C:


    A son exécution, même sans lancer le scan, quelques processus dont lsass, winlogon, wuauclt ou vsserv sollicitent tour à tour le processeur jusqu'à 70%, ce qui ralenti subitement l'ordinateur.


    Le scan lancé, une quantité impressionante de lignes s'affichent dont la ligne contenant notre dossier "rootkité" et le fichier renommé. Le problème c'est que je n'ai pas pu faire de copie car le processeur est sollicité à 100% même une fois le scan terminé ou annulé avant la fin. Il m'est impossible de lancer le bloc-notes.


    Je suis obligé de rebooter par le bouton RAZ pour retrouver un fonctionnement normal de mon ordinateur.


    Idem en arrêtant l'antivirus BD


    Peut-être faut lancer GMER en mode sans echec uniquement?


    Etes vous sûr du lien que vous m'avez fourni?


    A suivre...

  • J'ai quand même créé le fichier bd de AVIS:


    http://dl.free.fr/vgsZmPYO9


    Merci et à bientôt

  • Bonjour,


    Je pense qu'il faut relancer la procédure Gmer mais en mode sans échec :


    - Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :


    http://www.gmer.net/gmer.zip


    - Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque


    - Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:


    - Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine. A la fin de l'analyse, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau). Faites nous parvenir le fichier texte ainsi créé.


    Cordialement,


    Yann


    Le fichier introuvable dont je parle ci-dessus est le fichier renommé par BD.


    Suite...


    Aucun changement près désinstallation + effacer clés orphelines par Ccleaner puis réinstallation de Flash Player 10.


    Gmer me pose souçis:


    Après téléchargement je l'ai dézippé dans la racine C:


    A son exécution, même sans lancer le scan, quelques processus dont lsass, winlogon, wuauclt ou vsserv sollicitent tour à tour le processeur jusqu'à 70%, ce qui ralenti subitement l'ordinateur.


    Le scan lancé, une quantité impressionante de lignes s'affichent dont la ligne contenant notre dossier "rootkité" et le fichier renommé. Le problème c'est que je n'ai pas pu faire de copie car le processeur est sollicité à 100% même une fois le scan terminé ou annulé avant la fin. Il m'est impossible de lancer le bloc-notes.


    Je suis obligé de rebooter par le bouton RAZ pour retrouver un fonctionnement normal de mon ordinateur.


    Idem en arrêtant l'antivirus BD


    Peut-être faut lancer GMER en mode sans echec uniquement?


    Etes vous sûr du lien que vous m'avez fourni?


    A suivre...

  • Bonjour Yann,


    Je confirme, Gmer fonctionne en mode sans echec. Voici le log:


    GMER 1.0.15.15281 - http://www.gmer.net


    Rootkit scan 2010-05-21 12:09:14


    Windows 5.1.2600 Service Pack 3


    Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kgldqpow.sys


    ---- Devices - GMER 1.0.15 ----


    AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    ---- Files - GMER 1.0.15 ----


    File C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#defloration.com.\settings.sol.bd.ren 86 bytes


    ---- EOF - GMER 1.0.15 ----


    En espérant que celà puisse vous servir....

  • Bonjour,


    Merci, je transmets les fichiers, je vous tiens au courant.


    Cordialement,


    Yann


    Bonjour Yann,


    Je confirme, Gmer fonctionne en mode sans echec. Voici le log:


    GMER 1.0.15.15281 - http://www.gmer.net


    Rootkit scan 2010-05-21 12:09:14


    Windows 5.1.2600 Service Pack 3


    Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kgldqpow.sys


    ---- Devices - GMER 1.0.15 ----


    AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    ---- Files - GMER 1.0.15 ----


    File C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#defloration.com.\settings.sol.bd.ren 86 bytes


    ---- EOF - GMER 1.0.15 ----


    En espérant que celà puisse vous servir....

  • Bonjour,


    Les logs ne laissent pas apparaitre de signe d'infection réelle, il s'agit sans doute d'un bug lié à Flash Player.


    Redémarrez en mode sans échec et une fois sous Windows en mode sans échec, ne lancez aucun navigateur et essayez de supprimer le fichier settings.sol.bd.ren qui se trouve dans :


    C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#defloration.com.\settings.sol.bd.ren


    Si cela ne foncitonne pas, essayez directement de supprimer le dossier 'Macromedia', videz la corbeille, redémarrez Windows et désinstallez complètement Flashplayer. Videz complètement le cache de vos navigateurs (et cookies), puis redémarrez Windows et réinstallez Flash Player.


    Cordialement,


    Yann


    Bonjour Yann,


    Je confirme, Gmer fonctionne en mode sans echec. Voici le log:


    GMER 1.0.15.15281 - http://www.gmer.net


    Rootkit scan 2010-05-21 12:09:14


    Windows 5.1.2600 Service Pack 3


    Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kgldqpow.sys


    ---- Devices - GMER 1.0.15 ----


    AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)


    ---- Files - GMER 1.0.15 ----


    File C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#defloration.com.\settings.sol.bd.ren 86 bytes


    ---- EOF - GMER 1.0.15 ----


    En espérant que celà puisse vous servir....

  • BenoîtHP
    Modifié (mai 2010)
    Redémarrez en mode sans échec et une fois sous Windows en mode sans échec, ne lancez aucun navigateur et essayez de supprimer le fichier settings.sol.bd.ren qui se trouve dans :


    C:\Documents and Settings\Utilisation\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#defloration.com.\settings.sol.bd.ren


    Si cela ne foncitonne pas, essayez directement de supprimer le dossier 'Macromedia', videz la corbeille, redémarrez Windows et désinstallez complètement Flashplayer. Videz complètement le cache de vos navigateurs (et cookies), puis redémarrez Windows et réinstallez Flash Player.


    Cordialement,


    Yann


    Le fichier n 'est pas accessible car il se trouve dans le dossier #defloration.com. que je ne peux pas ouvrir ni supprimer , même en mode sans échec. Windows me réponds:


    Impossible de supprimer fichier: Impossible de lire à partir du fichier ou de la disquette source.


    Je ne peux pas non plus supprimer le dossier macromedia, voici ce que Windows me réponds:


    Impossible de supprimer defloration.com (sans le #):Le fichier spécifié est introuvable.


    Vérifiez que le chemin et le nom de fichier spécifiés sont corrects.


    Après désinstallation de flashplayer, les dossiers sont toujours là et sont récalcitrants.


    Après nous être assurés qu'il n' y a pas d'infection, voilà la même requête que vers le début de ce fil(le 15mai): comment supprimer un dossier récalcitrant: existe t'il des outils fiables pour çà? J'avais proposé le logiciel killbox, mais apparemment il n'est pas si connu que çà, donc méfiance...


    Encore une idée?

  • Encore une idée?


    Salut,


    format c:


    @+

  • BenoîtHP
    Modifié (mai 2010)
    Salut,


    format c:


    @+


    Bonjour Guillaume et bravo, j'y avais pas pensé!


    A part l'humour, rien d'autre?

  • ricouz
    Modifié (mai 2010)

    Bonjour


    A part l'humour, rien d'autre?


    Pour effacer le fichier, essayes avec unlocker que tu pourras trouver ICI


    En espérant que cela fonctionne.


    A+

  • jessi59
    jessi59 ✭✭✭
    Bonjour


    Pour effacer le fichier, essayes avec unlocker que tu pourras trouver ICI


    En espérant que cela fonctionne.


    A+


    salut ricouz.


    tu parles a l'envers la? ou c'est mon pc qui deconne???.... <img class=" />

  • BenoîtHP
    Modifié (mai 2010)
    salut ricouz.


    tu parles a l'envers la? ou c'est mon pc qui deconne???.... <img class=" />


    Bonjour Jessi,


    Je ne comprends pas cette remarque. Encore de l'humour peut-être?


    Bonjour et merci à Ricouz pour ton tuyau.


    J'essaierai Mardi après l'avis de Yann sur la situation. C'est la moindre des courtoisies.


    A+

  • jessi59
    jessi59 ✭✭✭
    Bonjour Jessi,


    Je ne comprends pas cette remarque. Encore de l'humour peut-être?


    Bonjour et merci à Ricouz pour ton tuyau.


    J'essaierai Mardi après l'avis de Yann sur la situation. C'est la moindre des courtoisies.


    A+


    bonjour,


    oui bien sur c'est de l'humour,enfin pas tout a fait.il arrive que dans mes pages les textes s'inscrivent de facon confuse ,un peu comme sur les pages traduites,je sais pas si c'est parceque le site est bilingue,mais bon c'est bizarre..... ;)

  • jessi59
    jessi59 ✭✭✭
    bonjour,


    oui bien sur c'est de l'humour,enfin pas tout a fait.il arrive que dans mes pages les textes s'inscrivent de facon confuse ,un peu comme sur les pages traduites,je sais pas si c'est parceque le site est bilingue,mais bon c'est bizarre..... ;)


    la par exemple dans la petite reponse que je viens de faire ,apres validation du msg je le relis et je vois des mots sans rapport avec le msg qui s'immisce dans la phrase comme tonne et quebec!... :rolleyes: ...et onu aussi,....c'est tres bizarre!...enfin bon...pourtant j'ai rein j'ai encore fait une analyse approfondie hier c'etait nickel!... ^_^

  • jessi59
    jessi59 ✭✭✭
    la par exemple dans la petite reponse que je viens de faire ,apres validation du msg je le relis et je vois des mots sans rapport avec le msg qui s'immisce dans la phrase comme tonne et quebec!... :rolleyes: ...et onu aussi,....c'est tres bizarre!...enfin bon...pourtant j'ai rein j'ai encore fait une analyse approfondie hier c'etait nickel!... ^_^


    autant pour moi!...c'etait le nouveau traducteur de chrome qui etait mal reglé!... <img class=" />

  • Le fichier n 'est pas accessible car il se trouve dans le dossier #defloration.com. que je ne peux pas ouvrir ni supprimer , même en mode sans échec. Windows me réponds:


    Impossible de supprimer fichier: Impossible de lire à partir du fichier ou de la disquette source.


    Je ne peux pas non plus supprimer le dossier macromedia, voici ce que Windows me réponds:


    Impossible de supprimer defloration.com (sans le #):Le fichier spécifié est introuvable.


    Vérifiez que le chemin et le nom de fichier spécifiés sont corrects.


    Après désinstallation de flashplayer, les dossiers sont toujours là et sont récalcitrants.


    Après nous être assurés qu'il n' y a pas d'infection, voilà la même requête que vers le début de ce fil(le 15mai): comment supprimer un dossier récalcitrant: existe t'il des outils fiables pour çà? J'avais proposé le logiciel killbox, mais apparemment il n'est pas si connu que çà, donc méfiance...


    Encore une idée?


    Bonjour


    Pour effacer le fichier, essayes avec unlocker que tu pourras trouver ICI


    En espérant que cela fonctionne.


    A+


    Bonjour Yann,


    Considérant le résultat ci-dessus, me recommendez vous comme ricouz l'installation d'un outil de nettoyage comme unlocker ou avez vous une autre idée?


    Merci encore

  • Bonjour,


    Procédez à une vérification de votre disque et des fichiers système de Windows :


    - cliquez sur l'onglet 'Outils'


    - cliquez sur le bouton 'Vérifier maintenant'


    - cochez les deux options disponibles et cliquez sur le bouton 'Démarrer'


    - à la question qui apparait, répondez par oui


    - redémarrez Windows et laissez l'analyse des fichier qui se met en marche avant le démarrage de Windows, se dérouler normalement


    Ensuite si aucune erreur n'a été détectée et réparée, essayez d'utiliser des utilitaires comme Unlocker ( http://www.clubic.com/telecharger-fiche20237-unlocker.html ) pour tenter de forcer la suppression du dossier récalcitrant.


    Cordialement,


    Yann


    Le fichier n 'est pas accessible car il se trouve dans le dossier #defloration.com. que je ne peux pas ouvrir ni supprimer , même en mode sans échec. Windows me réponds:


    Impossible de supprimer fichier: Impossible de lire à partir du fichier ou de la disquette source.


    Je ne peux pas non plus supprimer le dossier macromedia, voici ce que Windows me réponds:


    Impossible de supprimer defloration.com (sans le #):Le fichier spécifié est introuvable.


    Vérifiez que le chemin et le nom de fichier spécifiés sont corrects.


    Après désinstallation de flashplayer, les dossiers sont toujours là et sont récalcitrants.


    Après nous être assurés qu'il n' y a pas d'infection, voilà la même requête que vers le début de ce fil(le 15mai): comment supprimer un dossier récalcitrant: existe t'il des outils fiables pour çà? J'avais proposé le logiciel killbox, mais apparemment il n'est pas si connu que çà, donc méfiance...


    Encore une idée?

  • ricouz
    Modifié (mai 2010)

    Bonjour


    [mode pinaillage]


    Règle de sécurité: lorsqu'on récupère un outil/programme, il faut toujours le prendre chez l'éditeur, même si d'autres sites connus le proposent.


    en l'occurrence l'éditeur c'est http://ccollomb.free.fr/unlocker/ qui redirige le téléchargement sur http://www.brothersoft.com/download-unlocker-208761.html


    :P;)


    [/mode pinaillage]


    Bonne journée.

  • Bonjour


    [mode pinaillage]


    Règle de sécurité: lorsqu'on récupère un outil/programme, il faut toujours le prendre chez l'éditeur, même si d'autres sites connus le proposent.


    en l'occurrence l'éditeur c'est http://ccollomb.free.fr/unlocker/ qui redirige le téléchargement sur http://www.brothersoft.com/download-unlocker-208761.html


    :P;)


    [/mode pinaillage]


    Bonne journée.


    Bonjour ricouz,


    Merci de tes recommandations, mais vois ce qu'il m'arrive, c'est ironique!!


    Je suis très étonné en prenant tes liens, car comment se fait-il que


    1/ mon navigateur IE8 considère ton 1° lien http://ccollomb.free.fr/unlocker/ comme un site Web d'hameçonnage en m'affichant une jolie page toute rouge


    2/ alors que je navigue actuellement en compte utilisateur restreint, ton 2 °lien http://www.brothersoft.com/download-unlocker-208761.html soit bloqué par le contrôle parental de BD alors que je n'ai coché que les sites de pornographie, violence, drogues, activités illégales, rencontres en ligne, et jeux d'argent????


    As tu essayé ce lien? Ton ordinateur ne réagit-il pas? Ou bien suis-je dirigé vers un autre site "fantôme" (si toutefois cette espèce existe)?


    Le lien de Yann fini par renvoyer aussi sur ccollomb après quelques pages intermédiaires bourrées de pub pour logiciels, mais il est aussi en hameçonnage.


    Ca devient comique!!