[Résolu] trojan system 32\\00006a93 "delayed write failed"

Concerne vos problèmes de virus, troyens, rootkit, pages publicitaires. Analyse de votre PC et éradication de virus.
Seules les personnes habilitées par l'administration peuvent aider et participer aux réponses dans ce forum.

Modérateur: Modérateur

Règles du forum
.
Merci de consulter la charte du forum avant de poster.
Rappel : Le langage SMS n'est pas toléré sur ce forum. Les demandes d'aide écrites en SMS ou formulées dans un français trop approximatif ne seront pas traitées.

Seuls MoJac, Marie, Pierre13, TopXM, chantal11, tomtom95 et jjcojax sont autorisés à répondre sur ce forum.

[Résolu] trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 17 Nov 2011, 13:13

RKreport[restore1].txt
(1.33 Kio) Téléchargé 116 fois
Bonjour,

j'ai besoin d'aide svp. Je suis sous vista et j'ai été infecté hier par un trojan je pense: windows 32\\00006a93, delayed writr failed, ecran noir, disparition des fichiers...

j'ai effectué qqs manip avec malware et roguekiller
voici les rapports

merci de votre aide
Fichiers joints
RKreport[4].txt
(680 Octets) Téléchargé 108 fois
RKreport[1].txt
(864 Octets) Téléchargé 112 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Publicité

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 17 Nov 2011, 13:14

protection-log-2011-11-17.txt
(2.39 Kio) Téléchargé 131 fois
protection-log-2011-11-16.txt
(1.86 Kio) Téléchargé 111 fois
mbam-log-2011-11-17 (07-36-54).txt
(15.72 Kio) Téléchargé 130 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 17 Nov 2011, 16:21

Bonjour dockarabine,

- Les différents rapports semblent montrer des actions qui devraient avoir apporté du mieux ...

- Par contre si tu as supprimé tes fichiers temporaires, je crains que la récupération de tes dossiers perdus soient désormé impossible:

Sauvegarde: [NOT FOUND]


Qu'en est t'il actuellement ?

Je te propose de compléter tout ça, dans un premier temps, par ceci:

:ss) Télécharge tdsskiller.exe sur le bureau

  • Fais un double clic sur TDSSKiller.exe pour le lancer si tu es sous Windows XP
  • Clic droit et Exécuter en tant qu'administrateur sur TDSSkiller.exe si tu utilises Windows Vista/Sept.

    Image

    - Laisser coché les 2 options par défaut -Visible via l'onglet "change parameter".

    Image

    Et coche les 2 options supplémentaires:

    Image
  • Clique sur Start scan pour lancer l'analyse.

    - Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

    • l'option "delete" (effacer) est bien cochée pour la famille TDL2
    • l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
    • l'option "cure" (réparer ) pour la famille TDL3.
    • l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
    • l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
    • puis clique sur Continue.

    - En règle générale: laisse l'action par défaut "skip" (sauter) pour les autres "suspicious objects. low/medium risks", si l'option "Cure" n'est pas proposée
    Ne prendre aucun risque de supprimer un objet sans qu'on sache clairement de quoi il retourne puis clique sur Continue.
  • En fin d'analyse il peut être demandé de relancer la machine:
  • clique sur Reboot Now.

    - Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

    - Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
    SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

:ss) Télécharge ZHPDiag2.exe - suivre le lien en bas de page.Image
  • Enregistre le sur ton bureau
  • Une fois le téléchargement achevé,fais un double clic sur ZHPDiag2.exe (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept).
  • Suis les instructions à l'écran.
  • N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
  • l'outil a créé 3 icônes: ZHPDiag, ZHPFix et MBRCheck.

    Image
  • Double clique sur le raccourci ZHPDiag sur ton Bureau (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept)..
  • Clic sur la loupe Image pour lancer l'analyse.
  • Une fois terminé , le rapport s'affiche : Enregistrer ce rapport sur ton bureau grace à un clic sur la disquette : Image
  • Le rapport est assez volumineux, met le en pièce jointe:

    - Va en fin de message et suis les indications:

    Image

    - Si le fichier est toujours trop gros, héberge ce dernier surCjoint.
  • Poste le lien qui te sera fourni par le site une fois ton fichier enregistré.
  • NB: Le rapport se situe aussi sous C:\ZHP\ZHPDiag.txt
  • Note pour les utilisateurs d'Avast : cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

Sont attendus:

  • Le rapport TDSSKiller
  • Le rapport ZHPDiag en pièce jointe.
  • Une indication sur le comportement de ton PC actuellement

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 17 Nov 2011, 20:34

Bonsoir,

tout d'abord merci de ton aide

La machine semble bien fonctionner. Mes fichiers semblent tous présents.
Impossible de lancer TDSS Killer (vista /mode admin) Il tente de lancer pdt deux secondes puis plus rien. J'ai telechargé plusieus fois sur différents sites et rien n'y fait!!
Voici le rapport ZHP
Fichiers joints
ZHPDiag.txt
(134.28 Kio) Téléchargé 104 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 18 Nov 2011, 11:10

Bonjour dockarabine,

La machine semble bien fonctionner


- Je te propose quand même de vérifier pour en être tout à fait sûr, les infections actuelles savent se faire discrètes :|)) ... En particulier à cause de ça:

Impossible de lancer TDSS Killer
et de ça dans le rapport:

detected hooks:
\Driver\iaStor -> 0x86686fa9
user & kernel MBR OK
Warning: possible MBR rootkit infection !


- Avant de passer un outil plus puissant (seul à mon avis capable de dompter la bête dans ce contexte) je te propose de vérifier les éventuels verrouillages qui empêcheraient de lancer TDSSKiller et rester sur cet outil:

:ss) Télécharge et sauve sur ton bureau:

Junction.zip de Mark Russinovich

* Dézipe le et copie Junction.exe sous le dossier C:\Windows.Ceci est impératif sinon ça ne fonctionnera pas. Il faut autoriser la copie lorsque Vista va t'indiquer que tu n'as pas les droits appropriés pour le faire ...

- Ouvrir une fenêtre "Invite de commandes"

- Démarrer---->Rechercher, taper cmd puis clic droit et Exécuter en tant qu'administrateur sur cmd.exe Vérifie que tu as bien "Administrateur" dans la barre du haut

- Sélectionne la totalité de la ligne ci dessous:

junction -s c:\ >log.txt&log.txt

- Fais un clic droit de souris et choisis Copier

- Va dans la fenêtre "Invite de commandes" (à fond noir), faire un clic droit et choisir Coller (Note: le contenu de la ligne ci-dessus doit avoir été copié), puis appuyer sur Entrée

Image

- Copie et colle le contenu en entier dans ta réponse. Attention la structure du rapport est un peu surprenante donc bien faire attention de tout copier

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 18 Nov 2011, 20:35

Bonsoir,
d'accord avec toi, cela me semble bizarre pour TDSS killer

je fais les manip demandées et rien ne se passe quand je tape entrée dans CMD
voici qqs copies d'ecran des manip
Image
Image

A+
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 19 Nov 2011, 08:55

Bonjour dockarabine,

Pas bon du tout ça ...

- Essaie de redémarrer en mode sans échec avec prise en charge réseau:

Tuto ici

- Supprime la version de TDSSKiller qui est sur ton bureau.

Re télécharge une nouvelle version:

ImageTélécharge tdsskiller.exe sur le bureau

  • Fais un double clic sur TDSSKiller.exe pour le lancer si tu es sous Windows XP
  • Clic droit et Exécuter en tant qu'administrateur sur TDSSkiller.exe si tu utilises Windows Vista/Sept.

    Image

    - Laisser coché les 2 options par défaut -Visible via l'onglet "change parameter".

    Image

    Et coche les 2 options supplémentaires:

    Image
  • Clique sur Start scan pour lancer l'analyse.

    - Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

    • l'option "delete" (effacer) est bien cochée pour la famille TDL2
    • l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
    • l'option "cure" (réparer ) pour la famille TDL3.
    • l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
    • l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
    • puis clique sur Continue.

    - En règle générale: laisse l'action par défaut "skip" (sauter) pour les autres "suspicious objects. low/medium risks", si l'option "Cure" n'est pas proposée
    Ne prendre aucun risque de supprimer un objet sans qu'on sache clairement de quoi il retourne puis clique sur Continue.
  • En fin d'analyse il peut être demandé de relancer la machine:
  • clique sur Reboot Now.

    - Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

    - Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
    SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

- Re tente de lancer Junctions comme indiqué ( même si TDSSKiller n'a pas fonctionné) ...

- Poste les résultats.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 19 Nov 2011, 16:56

Bonjour,

pas de résultat car malheureusement rien n'a fonctionné
Ni Tdss Ni junction
je commence à m'inquiéter...
La machine se comporte bien hormis 2 démarrage de session avec écran noir (seulement le pointeru. Fermeture avec CTR+ALT+SUPP et réouverture normale de session
Le problème doit être bien caché
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 19 Nov 2011, 17:46

Re:

Bon, et bien c'est pas gagné. Malgré le fonctionnement supposé normal je pense que cette machine a un sérieux problème ... :C)

- Je vois que tu as gardé la version 4 de Firefox ce qui est une très mauvaise idée (la version actuelle est la 8 ...) en terme de sécurité, mais on verra ça plus tard.

- Tu as déjà une version de Combofix sur ta machine qui date du 24/05/2011 - désinstalle là impérativement en passant la commande suivante:

Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:

"%userprofile%\Desktop\combofix.exe" /uninstall


- Nous allons recharger une nouvelle version que nous allons renomer avant de le télécharger

:ss) Désactive tous tes logiciels de sécurité le temps de télécharger et exécuter ComboFix. Ceci afin qu'ils ne gênent pas l'outil quand il travaille en suivant le tuto de nickW ici.

  • Fais un clic droit sur le lien ComboFix de sUBs .
  • Puis choisis Enregistrer la cible (du lien) sous ->Une fenètre apparait.
  • Dans le champ de droite "Nom de fichier" change "ComboFix.exe" par "BimboBox.exe"
  • Enregistre-le alors sur ton bureau et pas ailleurs.

    Image
  • Ferme toutes les fenêtres de tous les programmes en cours d'exécution.
  • Double-clique sur BimboBox.exe pour le lancer, ou clic droit et exécuter en tant qu'admin si tu es sous Vista/Sept. Les conditions d'utilisations du programme vont s'afficher. Accepte les en cliquant sur OK.
  • Suite à ça, le scan va commencer. Patiente le temps que l'outil travaille sans l'interrompre et sans rien toucher.

    :Atte:) Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exécuter: Ça pourrait planter Windows
  • A la fin du scan, un rapport va être généré: C:\ComboFix.txt

:Atte:) Il est possible que ComboFix relance plusieurs fois ta machine et refasse les 50+ étapes du scan, ceci est normal compte tenu de la difficulté d'éradication des nouveaux mawares. Patiente ...

:Atte:) Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression" apparaissait, redémarrer le pc.

:ss) Poste ce rapport dans ta prochaine réponse.

:ss) Refais un scan ZHPDiag et poste le rapport également en pièce jointe.

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 19 Nov 2011, 22:09

Voici les 2 rapports demandés

A+
Fichiers joints
ZHPDiag.txt
(136.07 Kio) Téléchargé 103 fois
bimbobox.txt
(13.47 Kio) Téléchargé 101 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 20 Nov 2011, 09:27

Bonjour dockarabine,

Quelques progrès ... , mais encore des questions. On continue:

- Supprime la version de TDSSKiller qui est sur ton bureau.

Re télécharge une nouvelle version:

ImageTélécharge tdsskiller.exe sur le bureau

- Renome là en Dockarabine.exe (avec la même procédure que BimboBox ..)

  • Fais un double clic sur Dockarabine.exe pour le lancer si tu es sous Windows XP
  • Clic droit et Exécuter en tant qu'administrateur sur Dockarabine.exe si tu utilises Windows Vista/Sept.

    Image

    - Laisser coché les 2 options par défaut -Visible via l'onglet "change parameter".

    Image

    Et coche les 2 options supplémentaires:

    Image
  • Clique sur Start scan pour lancer l'analyse.

    - Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

    • l'option "delete" (effacer) est bien cochée pour la famille TDL2
    • l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
    • l'option "cure" (réparer ) pour la famille TDL3.
    • l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
    • l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
    • puis clique sur Continue.

    - En règle générale: laisse l'action par défaut "skip" (sauter) pour les autres "suspicious objects. low/medium risks", si l'option "Cure" n'est pas proposée
    Ne prendre aucun risque de supprimer un objet sans qu'on sache clairement de quoi il retourne puis clique sur Continue.
  • En fin d'analyse il peut être demandé de relancer la machine:
  • clique sur Reboot Now.

    - Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

    - Si un reboot est demandé, après redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
    SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

:ss) Télécharge AdwCleaner (de Xplode) sur ton bureau.
  • Double clique sous XP (clic droit/exécuter en temps qu'administrateur sous Vista/7) pour lancer l'outil.
  • Clique sur [Suppression] puis patiente le temps du scan.
  • Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
  • Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

:ss) Refais un scan ZHPDiag et poste le rapport également en pièce jointe.

Comment se comporte la machine ? y a t' il des progrès ??

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 20 Nov 2011, 12:49

Bonjour,

Malgré le fait de renommer en dockarabine, cela ne fonctionne toujours pas
voici les 2 autres rapports demandés

Concernant le fonctionnement de la machine, pas trop mal, qqs pb en ouverture de session (ecran noir, pointeur seul, fonctionnement normal aprés fermeture/reouverture), des redirections vers sites publicitaires a chaque ouverture de page internet... pas de lenteur apparente
Fichiers joints
ZHPDiag.txt
(134.58 Kio) Téléchargé 102 fois
AdwCleaner[S1].txt
(1.38 Kio) Téléchargé 102 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 20 Nov 2011, 15:04

Re:

Malgré le fait de renommer en dockarabine, cela ne fonctionne toujours pas


- C'est bizarre, pas forcément signe d'une infection active, mais d'un effet collatéral d'une ancienne infection ...
- En tout cas rien de flagrant dans les rapports jusqu'à présent.

On va quand même vérifier ton MBR:

Fais analyser les fichiers ci-dessous sur VirusTotal.com.

C:\PhysicalDisk0_MBR.bin

Pour analyser un fichier:
  • Tu cliques sur le bouton Parcourir et tu recherches dans la fenêtre qui s'ouvre (arborescence de ton disque dur) le fichier en question.
    Ensuite tu cliques sur Envoyer le Fichier.
  • Ton fichier va être mis en file d'attente: Votre Fichier est dans la file d'attente en position: ...
    Patiente le temps d'analyse du fichier. Ca peut durer un petit moment si le serveur est surchargé.

    ( Si VirusTotal indique que le fichier a déjà été analysé, (File already Submited) clique sur le bouton Ré-analyse le fichier maintenant )
  • A la fin de l'analyse dans Situation actuelle, tu dois voir: Terminé
    Copie-colle le lien du rapport dans ta prochaine réponse (visible dans la barre d'adresse).

Ensuite on va tenter de réoudre ces pb de pub:

:ss) Nous allons utiliser maintenant ZHPFix qui est sur ton bureau pour effectuer quelques corrections:

- Ce script va cibler certains éléments à corriger ou supprimer :

NB : il va y avoir désinstallation de barres d'outils (toolbars) : Valide par Oui la désinstallation des programmes si demandé, si un redémarrage est demandé , refuse-le car il arrêterait le processus de suppression.

• Sélectionne et copie les lignes en gras situées entre les deux traits :
__________________________________________

O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) --
O42 - Logiciel: Favorit (mdkjag) - (.Pas de propriétaire.) [HKLM] -- mdkjag
O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
[HKCU\Software\Spointer]
[HKCU\Software\vShare]
[HKLM\Software\CrazyLoader]
[HKLM\Software\GamesBarSetup]
[HKLM\Software\iWin]
O43 - CFD: 29/05/2011 - 13:23:26 - [0] ----D- C:\Program Files\Fluendo
O43 - CFD: 13/11/2010 - 19:05:08 - [1178922] ----D- C:\Program Files\vShare
O43 - CFD: 24/05/2011 - 21:09:54 - [373731] ----D- C:\Users\Administrateur.PC-de-Johanna\AppData\Local\crazyloader Air
O43 - CFD: 28/05/2011 - 00:45:18 - [382579] ----D- C:\Users\Administrateur.PC-de-Johanna\AppData\Local\moovida Air
O87 - FAEL: "{7A71A273-8AF9-482D-937B-A6F957426C19}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)
O87 - FAEL: "{721E4149-FE81-4369-BE37-A4EFE816EB31}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)
[HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
[HKLM\Software\Classes\eorezobho.eobho]
[HKLM\Software\Classes\eorezobho.eobho.1]
[HKLM\Software\Classes\vShare.ScriptHelpers]
[HKLM\Software\Classes\vShare.ScriptHelpers.1]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}]
[HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}]
[HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}]
[HKLM\Software\iwin]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
C:\Program Files\vShare
C:\Users\Administrateur.PC-de-Johanna\AppData\Local\Crazyloader Air
C:\Users\Administrateur.PC-de-Johanna\AppData\Local\moovida air
C:\Users\Administrateur\AppData\LocalLow\vShare
EmptyTemp
EmptyFlash
FirewallRaz
SysRestore

__________________________________________

• Lance ZHPFix Image à partir du raccourci sur ton Bureau ( sous Vista / Sept, clic-droit --> Exécuter en temps qu'administrateur)
• Clic sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
• Clic sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

- Pour ton démarrage en 2 étapes, essaie ceci :

:ss) Télécharge LogonFix de Xplode sur ton bureau.
- Lance le, clique sur [Restaurer] puis patiente.
- A la fin du scan, n'accepte pas le redémarrage pour l'instant si demandé. Un rapport s'ouvrira, poste le .

:ss) Redémarre ta machine et dis nous si améliorations ...

On verra si on se lance dans une recherche plus générale de rootkit. :-?

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar dockarabin » 20 Nov 2011, 17:24

Re,

le test du MBR dans virus total: absence de chargement du fichier en file d'attente => site surchargé, pb identique que tdss?
Image
cette fenêtre apparaît puis disparait et puis plus rien ne se passe...

voici les rapports ZHP fix et logon fix

Au redémarrage de l'ordinateur, ecran noir sur la session admin... je referme et reouvre et tout revient normalement
Pas d'ouverture de page de pub intempestives pour le moment

Le pb semble bien caché?
Merci encore de ton aide

A+
Fichiers joints
LogonFix.txt
(1.41 Kio) Téléchargé 100 fois
ZHPFixReport.txt
(7.06 Kio) Téléchargé 98 fois
dockarabin
Forumeur débutant
Forumeur débutant
 
Messages: 62
Enregistré le: 21 Mai 2011, 14:34

Re: trojan system 32\\00006a93 "delayed write failed"

Messagepar MoJac » 20 Nov 2011, 18:53

Re:

Le pb semble bien caché?


- J'espère surtout que c'est un vrai problème, pas la conséquence d'anciennes infections qui ont rendu la machine non totalement opérationnelle.
- On va, si tu es toujours d'accord, continuer à s'assurer que ce dysfonctionnement ne cache pas une activité nuisible ...

Pas d'ouverture de page de pub intempestives pour le moment


- OK c'est déjà ça ...

le test du MBR dans virus total: absence de chargement du fichier en file d'attente => site surchargé, pb identique que tdss?


- A priori non ... VirusTotal est souvent en maintenance les dimanches soirs. Tu as déja utilisé ce service récemment avec succès. Je te propose de renouveller l'essai plus tard, voire demain.

Au redémarrage de l'ordinateur, ecran noir sur la session admin... je referme et reouvre et tout revient normalement


- C'est une des manifestations du pb pour laquelle pour le moment je n'ai aucun élément d'explication ...

- Par contre il y a surement une relation avec le fait de ne pouvoir lancer TDSSkiller.

On va chercher du coté rootkit génériques (ce sont des programmes cachés destinés à protéger d'autres programmes afin de les rendre furtifs ...). Pas simple en général ...

    :ss) Va sur le site http://www.gmer.net/#files et télécharge le logiciel via le bouton Download EXE sur ton bureau.
      Image

    Ceci va lancer le téléchargement du logiciel avec un nom aléatoire car certains malwares connaissent le nom de cet outil !

    Désactive tes protections résidentes (Antivirus, autres protections, ...) et ferme tous tes autres programmes en cours d'exécution pendant le scan


    • Double-clic sur nomaléatoire.exe (le nom comporte 8 chiffres/lettres aléatoires) ou clic droit et exécuter en tant qu'admin sous Vista.

      IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

    • Dés que le programme s'ouvre, celui ci effectue un scan rapide des emplacements les plus souvent utilisés par les rootkits.
    • Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clic "NO"
    • (1) Dans l'écran principal, en haut à droite, vérifie que tout est coché. Par contre ne laisse coché que la partition système (généralement C:\)

      Image

    • (2) Clique alors sur Scan et patiente tout le long du scan sans rien toucher (cela peut prendre plusieurs minutes).
    • Lorsque le scan est terminé, clique sur "copy"
    • Ouvre le bloc-note et clique sur le Menu Edition / Coller
      Le rapport doit alors apparaître.

:Atte:) Si cet outil plante, essaie à nouveau en décochant la case Devices

:ss) Colle ce rapport dans ta prochaine réponse .

A plus
- Suivez les instructions qui vous sont données.
- Pas de désinfection en Message Privé.
Image
---------------------- Un site sympa à visiter:----------------
https://www.zoom-nature.fr/chroniques-nature-sciences/
Avatar de l’utilisateur
MoJac
Super Modérateur
Super Modérateur
 
Messages: 3339
Enregistré le: 01 Déc 2008, 17:27
Localisation: Puy de Dôme

Suivante

Retourner vers Supprimer les virus - Désinfection PC

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités

Ce site utilise des pages PHP entièrement recyclables