SUITE DE CE SUJET...

Suite au remplacement de ntdll.dll, l'erreur "generic host process for win32" est revenue avec désactivation du son et changement de mon desktop en type "mode sans échec".
Me suis mis en mode sans échec et malwaresbytes a trouvé 2 troyens. Avira est complètement aveugle et sans la possibilité de faire de mise à jour en mode sans échec. AD-R a trouvé encore 3-4 petites choses qui traînaient dans la foulée. J'ai aussi utilisé TDSkiller et USBFix qui m'a encore trouvé un virus dans les dossiers recycler. Une fois tout nettoyé, le système fonctionne bien et sans faute (j'ai même pu faire la mise à jour de Avira) mais le virus semble retrouver place malgré que j'aie désactivé la restauration du système. Et donc rebelote avec l'erreur generic host qui touche svchost et ntdll.dll, me coupe le son et me change mon layout. Si je lance usbfix dans la foulée, il me corrige tout et mon PC est à nouveau 100% fonctionnel mais en sachant qu'il va se remettre en place, c'est pas top top. Malwaresbytes et Avira ne voient plus rien, eux. J'ai lancé une an analyse via windbg du fichier envoyé à Microsoft, si cela peut aider. Il me semble qu'il a bloqué et j'ai donc du lancer une analyse forcée. Voici le résultat:


Microsoft (R) Windows Debugger Version 6.6.0003.5
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Documents and Settings\MadWoffen\Local Settings\Temp\WERe629.dir00\svchost.exe.mdmp]
User Mini Dump File: Only registers, stack and portions of memory are available

Windows XP Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: SingleUserTS
Debug session time: Mon Apr 2 15:37:18.000 2012 (GMT+2)
System Uptime: not available
Process Uptime: 0 days 0:00:52.000
Symbol search path is: srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
.................................................................................................................................................
Loading unloaded module list
..............
This dump file has an exception of interest stored in it.
The stored exception information can be accessed via .ecxr.
(5d4.82c): Access violation - code c0000005 (first/second chance not available)
eax=00000274 ebx=80070000 ecx=0000003a edx=7c885384 esi=00001384 edi=00000000
eip=7c91e514 esp=0247a0ac ebp=0247a110 iopl=0 nv up ei ng nz ac po cy
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000297
ntdll!KiFastSystemCallRet:
7c91e514 c3 ret
0:040>
0:040>
0:040>
0:040> !analyze -v
*******************************************************************************
* *
* Exception Analysis *
* *
*******************************************************************************

*** ERROR: Symbol file could not be found. Defaulted to export symbols for ipnathlp.dll -

FAULTING_IP:
ntdll!RtlFreeHeap+3f3
7c9208d3 663b10 cmp dx,[eax]

EXCEPTION_RECORD: 0247f9e8 -- (.exr 247f9e8)
ExceptionAddress: 7c9208d3 (ntdll!RtlFreeHeap+0x000003f3)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: fffffff8
Attempt to read from address fffffff8

DEFAULT_BUCKET_ID: APPLICATION_FAULT

PROCESS_NAME: svchost.exe

ERROR_CODE: (NTSTATUS) 0xc0000005 - L'instruction "0x%08lx" emploie l'adresse m moire "0x%08lx". La m moire ne peut pas tre "%s".

READ_ADDRESS: fffffff8

BUGCHECK_STR: ACCESS_VIOLATION

CONTEXT: 0247fa04 -- (.cxr 247fa04)
eax=fffffff8 ebx=02960178 ecx=00000000 edx=022300c0 esi=0298c750 edi=02960000
eip=7c9208d3 esp=0247fcd0 ebp=0247fd8c iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010206
ntdll!RtlFreeHeap+0x3f3:
7c9208d3 663b10 cmp dx,[eax] ds:0023:fffffff8=????
Resetting default scope

LAST_CONTROL_TRANSFER: from 028f559f to 7c9208d3

STACK_TEXT:
0247fd8c 028f559f 02960000 00000000 0298ca58 ntdll!RtlFreeHeap+0x3f3
0247fda0 028fd1ac 0298ca58 026595c8 028e7ac4 fastprox_28e0000!CBasicBlobControl::sDelete+0x16
0247fdac 028e7ac4 026595c8 026595c8 0247fe1c fastprox_28e0000!CWbemObject::~CWbemObject+0x32
0247fdc8 028e7eb1 00000000 0247fde8 028fd2fc fastprox_28e0000!CWbemInstance::~CWbemInstance+0x7a
0247fdd4 028fd2fc 00000001 0263beb4 025e9d00 fastprox_28e0000!CWbemInstance::`vector deleting destructor'+0x3d
0247fde8 76264ad0 026595c8 00000005 76264be5 fastprox_28e0000!CWbemObject::Release+0x2a
0247fdf4 76264be5 0263be38 0247fe28 76265b49 wbemcore!CWmiFinalizerObj::~CWmiFinalizerObj+0x26
0247fe00 76265b49 00000001 00000000 0263be38 wbemcore!CWmiFinalizerObj::`scalar deleting destructor'+0xd
0247fe28 76265c77 02586084 02586018 0247fe5c wbemcore!CWmiFinalizer::CallBackRelease+0x41
0247fe38 762641ec 0263be38 00000000 02586018 wbemcore!CWmiFinalizer::Release+0x21
0247fe4c 76264248 00000000 01247a40 0247fe7c wbemcore!CWmiFinalizerEnumerator::CallBackRelease+0x56
0247fe5c 62e53566 02586018 01247a40 62e5d432 wbemcore!CWmiFinalizerEnumerator::Release+0x21
0247fe68 62e5d432 01247a40 62e5d944 01247a40 hnetcfg!CHNCEnum<IEnumHNetConnections,IHNetConnection,CHNetConn>::FinalRelease+0x14
0247fe70 62e5d944 01247a40 0247fe90 62e5e728 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::~CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >+0x17
0247fe7c 62e5e728 00000001 00000001 00000001 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::`scalar deleting destructor'+0xd
0247fe90 668b32bb 01247a40 7c9429e1 00000000 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::Release+0x27
WARNING: Stack unwind information not available. Following frames may be wrong.
0247fedc 668b36a0 00000000 00000000 00000001 ipnathlp!NatCreateRedirect+0xf195
0247fef4 668af21e 00000000 00000001 6689a1d0 ipnathlp!NatCreateRedirect+0xf57a
0247ff38 668ba548 00000000 00000000 00000001 ipnathlp!NatCreateRedirect+0xb0f8
0247ff4c 668ba7eb 00000004 6689a1d0 001000d4 ipnathlp!NatCreateRedirect+0x16422
0247ff6c 010011cc 00000001 001000d0 00000000 ipnathlp!ServiceMain+0x13a
0247ffa0 77dc354b 00000001 001000d0 00000000 svchost!ServiceStarter+0x9e
0247ffb4 7c80b729 001000c8 00000000 00000000 advapi32!ScSvcctrlThreadA+0x12
0247ffec 00000000 77dc3539 001000c8 00000000 kernel32!BaseThreadStart+0x37


FOLLOWUP_IP:
fastprox_28e0000!CBasicBlobControl::sDelete+16
028f559f 5d pop ebp

FAULTING_SOURCE_CODE:


SYMBOL_STACK_INDEX: 1

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: fastprox_28e0000!CBasicBlobControl::sDelete+16

MODULE_NAME: fastprox_28e0000

IMAGE_NAME: fastprox.dll

DEBUG_FLR_IMAGE_TIMESTAMP: 49900b43

STACK_COMMAND: .cxr 0x247fa04 ; kb

FAILURE_BUCKET_ID: ACCESS_VIOLATION_fastprox_28e0000!CBasicBlobControl::sDelete+16

BUCKET_ID: ACCESS_VIOLATION_fastprox_28e0000!CBasicBlobControl::sDelete+16

Followup: MachineOwner
---------


Une idée ? Y a t'il un bon virus scan que l'on peut lancer via un boot usb pour ne pas démarrer de fichiers windows ? Merci.

Oups, désolé pour l'erreur de forum. Ci-joint les 4 trouvés par Malwaresbytes et qui ne sont pas revenus (?)

backdoor.Rbot sur c:\windows\system32\wmplayer.exe
Trojan.agent sur c:\windows\system32\status.dll
Backdoor.bot sur c:\windows\system32\iexplore.exe
Trojan.fakealert sur c:\windows\corpol.dll

prends patience et surtout ne fais plus de manipulations...un des toubibs ne va pas tarder à s'occuper de toi...

oki, vais faire du vélo avec mon fils

Bonjour MadWoffen

Tu as fait du vélo avec ton fils moi j'ai sorti mes deux affreux.
C:\Documents and Settings\MadWoffen\Local Settings\Temp\WERe629.dir00\svchost.exe
c'est une bestiole le véritable svchost.exe se trouve dans le dossier C:\Windows\System32

Avant de faire quoi que soit on va commencer par un diagnostic de ton PC

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan


Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau
• Clique sur la en haut à gauche en haut à gauche, puis laisse l'outil scanner
  
• Une fois le scan terminé, clique sur la et enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien rends toi sur ce site :



• Clique sur et va jusqu'au rapport qui a été sauvegardé
  
  
• Clic gauche dessus clique ensuite sur Ouvrir
  
  
  
• Clique ensuite sur
  
• Une fois l'upload fini un lien apparaît clic droit dessus choisis Copier dans le menu
  
  
  
• Colle le lien dans ta prochaine réponse

Je croyais que cette racine pour svchost avait créée par Windows pour l'envoi de son rapport ?

En sortant j'ai laissé malwaresbytes gambadé et c'est avira qui s'est réveillé du coup en me trouvant ceci: EXP/2012-0507.H dans les document and settings.

J'ai lancé ZHPDiag et voici le résultat:

http://cjoint.com/?3Dcsl5sQ96j

Bon, fiston fait dodo, je peux développer. Voici donc ce que m'avait déniché Avira avant que je ne lance ZHPDiag:

Recherche débutant dans 'C:\Documents and Settings\MadWoffen\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\17\58c251-7d378353'
C:\Documents and Settings\MadWoffen\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\17\58c251-7d378353
[0] Type d'archive: ZIP
--> a/Test.class
[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2012-0507
--> a/Msgs.class
[RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Loader.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 4dd16fed.qua ( QUARANTAINE )
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55464062.qua' !

Suite à une petite recherche sur le net, ce virus semble assez récent.

Nous avons donc le nom de la Bête (ou du moins de l'une d'entre elle), j'attends maintenant les conseils du Witch Doctor pour exorciser complètement mon PC.

Je viens de noter qu'il y avait une mise à jour ZHPDiag disponible. Ca vaut ce que cela vaut, voici le lien pour le nouveau scan avec la version mise à jour:

http://cjoint.com/?3DcwQr2bFtD

Bonjour,

je suis désolé mais je n'ai pas pu attendre, je suis indépendant et ce PC me sert aussi pour mon travail. TDS Killer a trouvé 2 fichiers suspects: alcaudsl et sptd, mis en quarantaine. J'ai ensuite fait travailler Avira toute la nuit en mode sans échec, restauration système désactivée, rien trouvé. Redémarrage XP et là le CPU s'affole et travaille presque constamment à 100%. En ouvrant cacheman, je vois que c'est Avira qui travaille tout berzingue, il a l'air bien occupé le bougre. J'en profite pour lancer ZHP Diag sur ce moment précis, il pourrait être précieux en info: http://cjoint.com/?BDdmLpdD8dt
Je lance USBFix, rien trouvé, je lance TDSKiller et là surprise, je retrouve à nouveau alcaudsl et sptd !!! Je remets en quarantaine et relance à nouveau TDSKiller, les 2 compères sont revenus! Cette fois-ci, au lieu de les mettre en quarantaine, je les supprime!
Je relance ensuite le PC de nouveau en mode sans échec et sans SPTD.sys. Je lance USBFix, rien trouvé, je lance TDSKiller et là surprise, je retrouve à nouveau alcaudsl!!! Je supprime et relance...plus rien. Je recherche tous les SPTD sur le disque dur et les renomme en .bak et .bak1. Je relance USBFix, AD-R et TDS Killer, tout est clean. J'éteins, lance XP en mode normal. Plus de message d'erreur, plus de plantage jusqu'à présent et plus de CPU travaillant à 100%. Je remet ZHPDiag au travail et voici son dernier rapport:
http://cjoint.com/?3Ddm0nyUW6E

Pour l'instant tout est stable. Je vais à présent lancer CCleaner pour faire un peu le ménage. Merci de voir de voir si tout semble ok sur le dernier rapport.

PS: je suis tout à fait conscient que j'ai fait ce nettoyage à la cosaque (quoique...pour vraiment le faire à la cosaque je devrais retrouver le débile à l'origine de ce virus, l'enterrer jusqu'à la tête et passer à cheval dessus plusieurs fois) mais c'est pour cela aussi que j'ai décrit toutes mes étapes et je n'exclus pas d'autres surprises tellement ce virus semble malicieux. Il me reste un point noir que je viens de découvrir: je n'ai plus accès à mon Pare-feu windows. Quand je clique dessus, il me dit:" les paramètres...ne peuvent pas être affichés car le service associé n'est pas en cours d'exécution. Voulez-vous démarrez le service....", je réponds "oui" et je reçois le message suivant: "Windows ne peut pas démarrer le service Pare-feu Windows / Partage de connexion Internet. Donc tout n'est pas encore clean, je pense.

Edit: le virus m'a semble t'il, aussi décocher les mises à jour automatiques de Windows. Mais là j'ai pu recocher sans problème.

Bonjour MadWoffen, à la demande de lenapache, je prend le relais dans cette désinfection.


Étape 1

Attention le temps de téléchargement du script a été limité à 4 jours

- Clique sur http://cjoint.com/?3DercVlWNDR

- Sur la page qui s'ouvre clic droit et Tout sélectionner
- Refais un clic droit et Copier

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Clique maintenant sur le H bleu (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix



- Clique sur Go patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé dans C:\ZHP\ZHPFix[R1].txt

- Poste son contenu dans ta prochaine réponse


Étape 2


Télécharge AdwCleaner ( d'Xplode )
Enregistre ce fichier sur le bureau et pas ailleurs

- Double clique sur AdwCleaner.exe qui est sur le bureau.
** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Suppression laisse l'outil travailler

- Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



Étape 3


Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

Mets le à jour


- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici


-Poste le rapport de malwarebyte's

Merci, le système est stable mais j'ai encore des trucs bizarres (comme le non accès au pare feu windows)

Voici déjà le rapport ZHPfix: http://cjoint.com/?3DerLZbtJ0n

J'éditerais mon post au fur et à mesure des autres analyses.


Edit1: J'oubliais de préciser que ZHPfix m'a lancé un soft d'install/uninstall de toolbar skype, j'ai désinstallé.

edit2: Adwcleaner...ça ne s'est pas très bien passé. Il demande de relancer le PC très rapidement, j'exécute. Temps de chargement anormalement long, j'ai même cru qu'il avait planté (plus de défilement de la petite barre avec le logo windows pednat 3-4 minutes) puis il se décoince. Windows se lance mais sans explorer ni icônes, juste la souris. J'essaie 2-3x d'ouvrir le gestionnaire de tâche par alt-ctrl-del, rien ne se lance. Je me décide à relancer windows et à ce moment j'ai 3 gestionnaire de tâches qui s'ouvrent et explorer qui se lance... suivi par le redouté "Generic Host Process for Win32a rencontré un problème et doit fermer"
Signature de l'erreur:
szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : ntdll.dll
szModVer : 5.1.2600.6055 offset : 000108d3

Et mon explorer repart en layout "mode sans échec".

Voici le rapport d'adwcleaner: http://cjoint.com/?BDesepoDOcc

Je viens de réaliser que j'avais oublié de désactiver la restauration du sytème. :-/ Ne devrais-je pas recommencer ?

Je lance malwaresbytes maintenant, cela prendra plus de temps.

Et Malwares qui n' a rien trouvé (exécuté en mode sans échec):

http://cjoint.com/?BDetKRrYWHw


Système relancé en mode normal. Pas de plantage...so far!

Bonjour MadWoffen, réactive la restauration systeme, en cas de pepin il vaut mieux avoir un point infecté que plus rien deu tout

Le PC fonctionne bien maintenant?

Bonsoir,

J'en étais conscient, c'est la première chose que j'avais faite en rallumant, restauration système plus création d'un point de sauvegarde. Tout est super stable et clean, plus eu de plantage ni de "bug" layout. Par les dates de certains fichiers, j'ai même pu déterminer la cause de l'infection: j'essayais de capter au 20/21 mars une chaîne de télé portugaise en live streaming via divers sites, je me suis retrouvé avec une image de la "cyberpolice" allemande m'invitant à payer pour débloquer mon PC, arnaque que j'avais lu et donc que je connaissais (ma faute, je n'avais pas mis à jour Java). Je croyais m'en être débarrassé le soir même mais fallait croire que non... :-/ Apparemment mon plantage matériel aurait déstabilisé le virus ?
C'est assez coquasse, des 2 autres infections que je m'étais chopés l'an dernier, l'un venait du site de mon comptable (que j'ai prévenu mais il s'en foutait, si cela se trouve il est toujours infecté) et l'autre d'un forum conseil pour enfants en bas âge/bébés à destination des parents. Comme quoi, il n'y pas que les sites dits suspects qui sont sources d'infections.

En tout cas un grand merci pour votre aide. Pas de soucis avec lenapache ? Il a débarqué avec beaucoup de volonté et d'humour et a disparu un peu subitement...

Et ça recommence... voilà le changement de layout qui revient mais pas de message d'erreurs. Je poste l'image, cf la barre de tâche qui est censée être bleue...

http://cjoint.com/?BDgkxFwd7FF


PS: je travaille avec 2 écrans.


Ci-joint zhpdiag:

http://cjoint.com/?BDgkHFhtjoa


PS: pour info, certains paramètres sont aussi changés à mon insu: paramètre de veille qui est mis en on (alors que je n'en mets jamais) et aussi la page d'accueil sur Internet Explorer (mais j'utilise essentiellement Chrome) qui est mis sur msn.fr au lieu de google.

Bonjour MadWoffen, le napache a eu quelques soucis de santé et m'a demandé de prendre le relais

On va passer un autre tool cette fois ci

- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse

Voici:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: MadWoffen [Droits d'admin]
Mode: Recherche -- Date: 06/04/2012 22:40:16

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FAKED] alcacr.sys : c:\windows\system32\drivers\alcacr.sys --> CANNOT FIX
[FAKED] alcawh.sys : c:\windows\system32\drivers\alcawh.sys --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD103SI +++++
--- User ---
[MBR] 0f897fd93667c68a4638c7b2162af103
[BSP] 41c08c588ca4e2beabd5a66da602f1c7 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953868 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: Maxtor 6L300S0 +++++
--- User ---
[MBR] 4474ec69df5c03e02c110ee3566e6157
[BSP] 1a31c6e198c07ae4fde6f1b9e53b97ae : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 286173 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt


Edit: je me suis mis en mode sans échec avec désactivation de restauration et une 2ème ligne s'est rajoutée par rapport au 1er rapport en mode normal:


[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND

Bonjour MadWoffen

Relance Roguekiller

Clique sur suppression

La suppression fini:

Clique sur Racc.. RAZ ensuite

Poste le rapport ici

Bonjour,

voici le 1er rapport suite à la suppression:


RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: MadWoffen [Droits d'admin]
Mode: Suppression -- Date: 07/04/2012 12:46:18

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FAKED] alcacr.sys : c:\windows\system32\drivers\alcacr.sys --> CANNOT FIX
[FAKED] alcawh.sys : c:\windows\system32\drivers\alcawh.sys --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD103SI +++++
--- User ---
[MBR] 0f897fd93667c68a4638c7b2162af103
[BSP] 41c08c588ca4e2beabd5a66da602f1c7 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953868 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: Maxtor 6L300S0 +++++
--- User ---
[MBR] 4474ec69df5c03e02c110ee3566e6157
[BSP] 1a31c6e198c07ae4fde6f1b9e53b97ae : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 286173 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Et le 2ème suite au Racc. RAZ:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: MadWoffen [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 07/04/2012 12:51:05

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 16 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 365 / Fail 0
Mes documents: Success 139 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1181 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\CdRom1 -- 0x5 --> Skipped
[F:] \Device\CdRom0 -- 0x5 --> Skipped
[G:] \Device\HarddiskVolume1 -- 0x3 --> Restored

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt