[Résolu] trojan system 32\\00006a93 "delayed write failed"

Concerne vos problèmes de virus, troyens, rootkit, pages publicitaires. Analyse de votre PC et éradication de virus.
Seules les personnes habilitées par l'administration peuvent aider et participer aux réponses dans ce forum.

Modérateur: Modérateur

Règles du forum
.
Merci de consulter la charte du forum avant de poster.
Rappel : Le langage SMS n'est pas toléré sur ce forum. Les demandes d'aide écrites en SMS ou formulées dans un français trop approximatif ne seront pas traitées.

Seuls MoJac, Marie, Pierre13, TopXM, chantal11, tomtom95 et jjcojax sont autorisés à répondre sur ce forum.

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 02 Déc 2011, 20:22

Re:

- Ok les choses évoluent dans le bon sens pour ton équipement.

- J'ai un imprévu ce soir donc je ne vais pas pouvoir préparer les dernières manip comme initialement envisagé (La suppression de la partition qui est vide maintenant et de toute façon)...

- En attendant peux tu poster le rapport de TDSSkiller qui se trouve ici: C:\TDSSKiller.Version_Date_Heure_log.txt)

- Met à jour Avira, fais un scan complet et donne le résultat.

- J'aimerais également que tu re essaies de lancer Junctions à nouveau:

- Ouvrir une fenêtre "Invite de commandes"

- Démarrer---->Rechercher, taper cmd puis clic droit et Exécuter en tant qu'administrateur sur cmd.exe Vérifie que tu as bien "Administrateur" dans la barre du haut

- Sélectionne la totalité de la ligne ci dessous:

junction -s c:\ >log.txt&log.txt

- Fais un clic droit de souris et choisis Copier

- Va dans la fenêtre "Invite de commandes" (à fond noir), faire un clic droit et choisir Coller (Note: le contenu de la ligne ci-dessus doit avoir été copié), puis appuyer sur Entrée

Image

- Copie et colle le contenu en entier dans ta réponse. Attention la structure du rapport est un peu surprenante donc bien faire attention de tout copier.

Voilà, après ça on pourra voir les choses un peu plus sereinement.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Publicité

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 03 Déc 2011, 17:35

Bonjour Mojac,

voici le rapport tdss killer
voici le rapport avira. Impossible a mettre ne piece jointe car fichier .log

Avira
Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 2 décembre 2011 20:47

La recherche porte sur 3514845 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-JOHANNA

Informations de version :
BUILD.DAT : 10.2.0.151 35934 Bytes 31/08/2011 09:51:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 30/08/2011 15:38:26
AVSCAN.DLL : 10.0.5.0 56680 Bytes 30/08/2011 15:38:26
LUKE.DLL : 10.3.0.5 45416 Bytes 30/08/2011 15:38:30
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 30/08/2011 15:38:33
AVREG.DLL : 10.3.0.9 88833 Bytes 30/08/2011 15:38:33
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 16:06:42
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 11:28:15
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 07:15:56
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 03:34:34
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 16:53:51
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 05:42:31
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05/10/2011 13:41:06
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24/11/2011 13:41:16
VBASE009.VDF : 7.11.18.33 2048 Bytes 24/11/2011 13:41:16
VBASE010.VDF : 7.11.18.34 2048 Bytes 24/11/2011 13:41:16
VBASE011.VDF : 7.11.18.35 2048 Bytes 24/11/2011 13:41:16
VBASE012.VDF : 7.11.18.36 2048 Bytes 24/11/2011 13:41:17
VBASE013.VDF : 7.11.18.89 204800 Bytes 28/11/2011 19:33:05
VBASE014.VDF : 7.11.18.145 143872 Bytes 01/12/2011 16:35:15
VBASE015.VDF : 7.11.18.180 173056 Bytes 02/12/2011 16:35:15
VBASE016.VDF : 7.11.18.181 2048 Bytes 02/12/2011 16:35:15
VBASE017.VDF : 7.11.18.182 2048 Bytes 02/12/2011 16:35:15
VBASE018.VDF : 7.11.18.183 2048 Bytes 02/12/2011 16:35:16
VBASE019.VDF : 7.11.18.184 2048 Bytes 02/12/2011 16:35:16
VBASE020.VDF : 7.11.18.185 2048 Bytes 02/12/2011 16:35:16
VBASE021.VDF : 7.11.18.186 2048 Bytes 02/12/2011 16:35:16
VBASE022.VDF : 7.11.18.187 2048 Bytes 02/12/2011 16:35:16
VBASE023.VDF : 7.11.18.188 2048 Bytes 02/12/2011 16:35:16
VBASE024.VDF : 7.11.18.189 2048 Bytes 02/12/2011 16:35:16
VBASE025.VDF : 7.11.18.190 2048 Bytes 02/12/2011 16:35:16
VBASE026.VDF : 7.11.18.191 2048 Bytes 02/12/2011 16:35:16
VBASE027.VDF : 7.11.18.192 2048 Bytes 02/12/2011 16:35:16
VBASE028.VDF : 7.11.18.193 2048 Bytes 02/12/2011 16:35:16
VBASE029.VDF : 7.11.18.194 2048 Bytes 02/12/2011 16:35:16
VBASE030.VDF : 7.11.18.195 2048 Bytes 02/12/2011 16:35:16
VBASE031.VDF : 7.11.18.204 86528 Bytes 02/12/2011 16:35:16
Version du moteur : 8.2.6.128
AEVDF.DLL : 8.1.2.2 106868 Bytes 27/10/2011 07:31:16
AESCRIPT.DLL : 8.1.3.88 479611 Bytes 02/12/2011 16:35:27
AESCN.DLL : 8.1.7.2 127349 Bytes 24/11/2010 08:47:34
AESBX.DLL : 8.2.4.5 434549 Bytes 02/12/2011 16:35:28
AERDL.DLL : 8.1.9.15 639348 Bytes 12/09/2011 18:25:17
AEPACK.DLL : 8.2.14.4 741752 Bytes 02/12/2011 16:35:26
AEOFFICE.DLL : 8.1.2.21 201084 Bytes 02/12/2011 16:35:23
AEHEUR.DLL : 8.1.3.3 3871095 Bytes 02/12/2011 16:35:23
AEHELP.DLL : 8.1.18.0 254327 Bytes 27/10/2011 07:30:58
AEGEN.DLL : 8.1.5.15 405878 Bytes 02/12/2011 16:35:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 24/11/2010 08:45:50
AECORE.DLL : 8.1.24.0 196983 Bytes 27/10/2011 07:30:56
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 21:25:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.3.2 44904 Bytes 30/08/2011 15:38:26
AVREP.DLL : 10.0.0.10 174120 Bytes 25/05/2011 22:43:21
AVARKT.DLL : 10.0.26.1 255336 Bytes 30/08/2011 15:38:25
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 30/08/2011 15:38:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 30/08/2011 15:38:23
RCTEXT.DLL : 10.0.64.0 100712 Bytes 30/08/2011 15:38:23

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : vendredi 2 décembre 2011 20:47

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '49' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '79' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '29' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '66' module(s) sont contrôlés
Processus de recherche 'SCServer.exe' - '41' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarUser_32.exe' - '68' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '175' module(s) sont contrôlés
Processus de recherche '9props.exe' - '48' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '54' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '55' module(s) sont contrôlés
Processus de recherche 'CamService.exe' - '36' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '46' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '54' module(s) sont contrôlés
Processus de recherche 'apdproxy.exe' - '39' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '125' module(s) sont contrôlés
Processus de recherche 'Dwm.exe' - '23' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '84' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '31' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '31' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'hphc_service.exe' - '28' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '21' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '49' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '33' module(s) sont contrôlés
Processus de recherche 'WLIDSvcM.exe' - '16' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '64' module(s) sont contrôlés
Processus de recherche 'WLIDSVC.EXE' - '70' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '9' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '33' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '50' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '56' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '23' module(s) sont contrôlés
Processus de recherche 'Iaantmon.exe' - '36' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '64' module(s) sont contrôlés
Processus de recherche 'armsvc.exe' - '25' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '59' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '56' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '84' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '92' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '79' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '23' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '150' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '95' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '64' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '28' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '50' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '22' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '61' module(s) sont contrôlés
Processus de recherche 'services.exe' - '33' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '26' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '640' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HP>
C:\Users\Sébastien\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\4a88b33a-60d72b99
[0] Type d'archive: ZIP
--> json/Search.class
[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.CE
Recherche débutant dans 'D:\' <FACTORY_IMAGE>

Début de la désinfection :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\Sébastien\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\4a88b33a-60d72b99
[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.CE
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a6ceee3.qua' !


Fin de la recherche : vendredi 2 décembre 2011 22:29
Temps nécessaire: 1:27:35 Heure(s)

La recherche a été effectuée intégralement

30664 Les répertoires ont été contrôlés
424274 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
424273 Fichiers non infectés
3731 Les archives ont été contrôlées
0 Avertissements
1 Consignes
622931 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

J'ai le rapport junction mais il est beaucoup trop lourd 311 Ko. Je l'ai copie colle en 2 fichiers
Dans le rapport junction beaucoup de "failed to open" est ce normal?
Avira a trouvé un virus que j'ai mis en quarantaine. Je n'ai pas trouvé d'info sur ce dernier. Est ce que tu connais son action?

A+
Fichiers joints
junction2.txt
(162.5 Kio) Téléchargé 105 fois
junction 1.txt
(148.6 Kio) Téléchargé 104 fois
TDSSKiller.2.6.21.0_01.12.2011_20.35.01_log.txt
(67.2 Kio) Téléchargé 100 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 03 Déc 2011, 19:41

Bonsoir dockarabin,

Dans le rapport junction beaucoup de "failed to open" est ce normal?

- Vista est un peu une usine à gaz. A priori les éléments verrouillés sont normaux. Je cherchais des verrous sur certains exécutables liés à la sécurité. Cette version de TDL4 ne semble pas agir de cette façon ...

Avira a trouvé un virus que j'ai mis en quarantaine. Je n'ai pas trouvé d'info sur ce dernier. Est ce que tu connais son action?

- Quelques indications ici:

http://www.microsoft.com/security/porta ... 010-0840.W

http://cve.mitre.org/cgi-bin/cvename.cg ... -2010-0840

- Il s'agit de l'exploitation d'une faille Java non à jour. Peut être une des causes de tes pb.

- Il est actuellement neutralisé.

:ss) Nous allons mettre à jour Java et en profiter pour faire un peu de ménage - si besoin:

    Utiliser, obligatoirement, Internet Explorer pour téléchargez (sur le Bureau) la dernière version: 32 bits en ce qui te concerne.

    Image

  • Avant l'installation supprime toutes les anciennes versions parce qu'elles peuvent contenir des vulnérabilités de sécurité.
  • Clique sur "Démarrer" => "Panneau de configuration" => "Ajout/ Suppression de Programmes".
  • Cherche dans la liste les lignes concernant Java J2SE Runtime Environment et éventuellement Java(TM) X Update Y.
  • Sélectionne une ligne à la fois et clique sur Supprimer.
  • Quand il n'y en a plus, ferme le panneau de configuration et installe la nouvelle version en cliquant sur le fichier qui a été téléchargé sur le bureau.
  • Ensuite clique sur "vérifiez que Java a été correctement installé. " pour s'assurer que tout est OK
- Faire la vérification pour chaque navigateur.

:ss) Je viens de me rendre compte qu'avec toutes ces émotions nous n'avons pas de log actualisé de l'état actuel de ta machine:

- Lance en admin ZHPDiag.
- Vérifie que ta version est à jour (ce n'est certainement pas le cas), clique sur la flêche verte en haut à droite et suis les instruction de téléchargement et installation de la nouvelle mouture.
- Lance le scan et met le rapport en pièce jointe.

:ss) Je te propose d'attendre la prochaine étape pour supprimer la partition frauduleuse, car je voudrais être sûr que son maintient ne serait pas plus bénéfique (vaccin !) que sa suppression.
En tout cas elle est vide de contenu ... donc pas dangereuse.

Je pense qu'on va pouvoir terminer la prochaine fois.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 03 Déc 2011, 20:49

Re,

j'ai mis ma version java à jour. Installation OK sur les différents navigateurs
voici le rapport ZHP demandé
si cette partition est inerte, autant en rester là
ça pourrait peut être servir un jour (si je comprends bien)

Un bon coup de nettoyage et je pense que ça sera Nickel

Comment puis je te remercier?

A+
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 03 Déc 2011, 21:11

Re:

voici le rapport ZHP demandé


Tu n'aurais pas oublié la pièce jointe par hasard ? :sif:
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 03 Déc 2011, 21:24

Euh non :nnn:
Fichiers joints
ZHPDiag.txt
(130.82 Kio) Téléchargé 122 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 04 Déc 2011, 11:36

Bonjour dockarabin,

Un petit peu de ménage pour éliminer quelques scories diverse:

Image Nous allons utiliser maintenant ZHPFix pour effectuer quelques corrections:

- Ce script va cibler certains éléments à corriger ou supprimer :

NB : il va y avoir désinstallation de barres d'outils (toolbars) : Valide par Oui la désinstallation des programmes si demandé, si un redémarrage est demandé , refuse-le car il arrêterait le processus de suppression.

• Sélectionne et copie les lignes en gras situées entre les deux traits :
__________________________________________

O23 - Service: Symantec AppCore Service (SymAppCore) . (...) - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe (.not file.)
O44 - LFC:[MD5.D1D1149D628E7DC4D3C3F32EA27D8A7F] - 20/11/2011 - 17:10:25 ---A- . (...) -- C:\LogonFix.txt [1445]
O44 - LFC:[MD5.D22FF2CC70FA2EEC94AAA6C6F49E6EB0] - 18/11/2011 - 20:11:16 ---A- . (...) -- C:\Windows\Eula.txt [7005]
[MD5.FF72056739C31E4CC920FBDFF4F9A8E5] [SPRF][20/11/2011] (...) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\0135lwy0.exe [302592]
[MD5.D3C6B696576B804320495AD0E63B3146] [SPRF][27/11/2011] (...) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\Inherit.exe [85504]
[MD5.3CCBE604FA42DA03BE88691DC5FF3C27] [SPRF][20/11/2011] (...) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\logonfix.exe [278382]
[MD5.700BE704252A2EB621800A2CC758E6F8] [SPRF][22/05/2011] (...) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\MBRBackup.exe [1452824]
[[MD5.79209302A1AFB2490808DB890A815CED] [SPRF][22/05/2011] (.Igor Pavlov - 7z Setup SFX.) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\OTLPENet.exe [127222215]
[MD5.05CA0EA7DF8BD1113DD5F854E389CAD0] [SPRF][25/05/2011] (...) -- C:\Users\Administrateur.PC-de-Johanna\Desktop\SecurityCheck.exe [879035]
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
[MD5.00000000000000000000000000000000] [APT] [{4BAB5A93-85E8-4C3D-ADC8-089475A55F3E}] (...) -- c:\users\Administrateur\appdata\local\mdkjag.bat (.not file.)
O43 - CFD: 07/01/2009 - 20:31:34 - [2,952] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 22/05/2011 - 20:48:54 - [0,000] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}]
[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}]
[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]
[MD5.00000000000000000000000000000000] [APT] [JavaUpdateAdministrator] (...) -- C:\Windows\system32\jusched.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [JavaUpdateJohanna] (...) -- C:\Windows\system32\jusched.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [JavaUpdateS‚bastien] (...) -- C:\Windows\system32\jusched.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4BAB5A93-85E8-4C3D-ADC8-089475A55F3E}] (...) -- c:\users\Administrateur\appdata\local\mdkjag.bat (.not file.)
EmptyTemp
EmptyFlash
FirewallRaz
SysRestore

__________________________________________

• Lance ZHPFix Image à partir du raccourci sur ton Bureau ( sous Vista / Sept, clic-droit --> Exécuter en temps qu'administrateur)
• Clic sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
• Clic sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

:ss) Mises à jour de sécurité:

- Il est très important d'effectuer toutes les mises à jour demandées par Windows ainsi que les principaux logiciels satellites qui ont autant de faille de sécurité que l'OS lui même:

Adobe
Java
VLC
...

- Conserve les mises à jour automatiques. Ces mises à jour sont parfois supprimées au nom d'amélioration de performance au démarrage. Le gain est illusoire le risque très important.

:ss) Désinstallation des outils utilisés:

Il ne faut pas garder d'anciennes version d'outils car ceux ci sont mis à jour pratiquement journellement. En cas de besoin il est préférable de re télécharger les dernières versions.

- Touche Windows+R pour ouvrir la fenêtre Exécuter copie-colle la commande suivante puis OK:

"%userprofile%\Desktop\combofix.exe" /uninstall


Cela désinstallera ComboFix et remettra les options de sécurité de Windows par défaut.

- Supprime RogueKilleret les éventuels dossiers/fichiers en rapport si toujours présents sur ton bureau
- Va sous C:\Programmes\ZHPDiag\uninss000.exe, double clic sur ce fichier qui va désinstaller les programmes et supprimer la quarantaine
- Supprime TDSSKiller.exe si toujours présent sur ton bureau, ainsi que toute autre version renommée.

Par contre conserve MbAM qu'il convient de passer régulièrement (après mise à jour de sa base de signatures).

Conserve et met en lieu sûr le fichier MBR_2011-05-22.bin qui correspond au contenu de ton MBR sauvé au mois d'Avril ... il contient entre autre une table de partition saine. On ne sait jamais.

- En ce qui concerne la partition frauduleuse, je n'ai pas trouvé de littérature sur le mécanisme d'infection en relation avec un test de présence de cette partition avant d'infecter une machine (trop récent). Donc je ne peux pas confirmer que la présence de cette coquille vide a une fonction de vaccin. Par contre si on se réfère aux mécanisme des versions précédentes la présence de fichiers infectieux empêche une surinfection ...
- Donc pour le moment je pense laisser cette partition.
- Il sera toujours possible de la supprimer avec Gparted c'est extrêmement facile: clic sur la partition puis delete, confirmer et voilà ... (attention de ne pas se tromper de partition^^)

:ss) Suppression des anciens points de restauration contaminés: version Vista

A réaliser dans quelques jours, histoire d'être tout à fait sur de la stabilité de l'équipement (simple précaution !)

http://www.vista-xp.fr/forum/topic243.html

Un nouveau point sera crée automatiquement lors du démarrage suivant.

:ss) - Conseils généraux relatifs à la sécurité:

  • Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
    Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.
  • Les risques liés au P2P:Idées reçues
  • Judiciarisation des espaces d’entraide informatique.

    - La nouvelle tendance des sociétés sans scrupule qui téléchargent un tas de cochonneries sur les machines des internautes, est d'attaquer en justice les forums de sécurité qui suppriment toutes ces pestes et qui par conséquent nuisent à leur business.

    A lire attentivement le papier de notre ami Gof sur ce sujet


:ss) Autres remarques:

- Conserve en lieu sûr le DVD de Ubuntu. Il peut servir à récupérer des fichiers sur ton disque dur en cas de gros pépin (panne partielle du disque avec boot impossible)

Comment puis je te remercier?

- En ce qui me concerne c'est déjà fait ! Il est agréable d'aider quelqu'un de raisonnable.

- Si tu tiens malgré tout à faire autre chose: je peux te suggérer un don au Téléthon (3637)

Sauf si tu as des questions ou encore des pb, je te propose d'en rester là.

- Toute l'équipe de micro-astuce te souhaite bon surf en toute sécurité :ok:)
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 04 Déc 2011, 14:27

Bonjour,

j'ai effectué ZHPFix. Voici le rapport OTLPE n'a pas été supprimé
j'ai supprimé combofix mais il reste encore des éléments Bimbo dans C: (voici une capture d'ecran de C)
Image
il existe également des fichiers récents "fwldrkow" par exemple dois je le laisser?
Un dossier vide nommé "32788R22FWJFW " apparait egalement. Dois je le supprimer?
Je n'avais pas de fichier uninstall dans zhpdiag donc je l'ai supprimé par le desinstallateur de programme mais il reste un fichier ZHP avec les rapport et la quarantaine
Il me reste egalement des applications sur mon bureau admin comment dois je les supprimer en securité?
Image

Je conserve MBam, le MBR de mai et le cd Ubuntu
je vias garder cette partition pour l'instant, comme elle est inactive c'est plus prudent
j'effacerais les points de restauration dans quelques jours

Merci pour tous tes conseils. Merci a toute votre équipe
J'ai lu l'article, pas étonnant dès que l'on touche a leurs interets financiers!!!!!!!!!!!!!

Je fais un don au téléthon, c'est ma façon de vous remercier (mon ethique médical y trouvera son compte)

A+
Fichiers joints
ZHPFixReport.txt
(3 Kio) Téléchargé 99 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 04 Déc 2011, 15:03

Re:

Alors:

il existe également des fichiers récents "fwldrkow" par exemple dois je le laisser?

- Il s'agit du driver de Gmer:

20/11/2011 - 20:12:54 ---A- . (.GMER - GMER Driver http://www.gmer.net.) -- C:\fwldrkow.sys [100864]

Tu peux le supprimer. L'exécutable de Gmer lui même a été supprimé par le script (0135lwy0.exe )

Un dossier vide nommé "32788R22FWJFW " apparait egalement. Dois je le supprimer?

- Il date d'aujourd'hui à 13h45. Je suppose que c'est une structure temporaire créée par ZHPFix. Tu peux supprimer.

il reste un fichier ZHP avec les rapport et la quarantaine

- Ah les désinstallateurs ... tu peux supprimer.

Il me reste egalement des applications sur mon bureau admin comment dois je les supprimer en securité?


- Relance Adwcleaner en admin et choisis "désinstaller".

- Supprime ZHPDiag2, TCPView.zip et le dossier TCPView, Junction.zip mais laisse junction.exe dans le dossier Windows.

- Supprime OTLPEnet (ZHPFix a refusé de le faire car en liste blanche je suppose, ou trop gros ...)

- Supprime le fichier de MàJ de Java et la copie d'écran C

- Lance en admin OTL et clique sur Purge outils. Laisser faire et redémarrer le PC quand c'est demandé. OTL sera auto désinstallé normalement et sa quarantaine purgée. ComboFix et et ses fichiers/dossiers restant seront supprimés en même temps. Si ce n'est pas le cas supprime les manuellement.

J'espère que cette fois ci on a fait le tour.

Je fais un don au téléthon, c'est ma façon de vous remercier (mon éthique médical y trouvera son compte)

Merci pour eux ! :(
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 04 Déc 2011, 20:12

Bonsoir,

voila tout est ok pour moi
Merci beaucoup de ton aide

PS: Je ferais de la pub pour votre site

Je ne te dis pas a bientot mais le coeur y est :(

A+
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Précédente

Retourner vers Supprimer les virus - Désinfection PC

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités

cron

Ce site utilise des pages PHP entièrement recyclables