Bonjour.
Je suis sous xp SP3, Antivirus Avira + malwarebyte's (à jour), navigateur Firefox.
Je soupconne l'infection sur mes 2 machines, symptômes.
Impossibilité de mettre à jour les signatures d'Avira. Pire, même phénomène sur les réinstallations à partir d'images. Lenteur démarrages avec écran bleu ciel pendant 1 minute 30 à 2 minutes. Machine partie pour formatage et réinstallation
Sur la 2ème machine, même chose à part Avira, firefox très lent, processus Firefox à près de 100% pendant la navigation. les A.V. ne signalent rien sauf sur la 1re machine en recherche rootkit, qui signale 1 fichier caché (non identifié) et modification de la mémoire. Je soupçonne fortement Firefox?
Excusez moi, suis obligé de faire court, un 1er texte ayant été planté sans possibilité de récupérer, en cours de frappe...

Merci d'avance.

Bonjour levieuxminou

bienvenu sur libellules.ch

pour gagner du temps
merci de suivre cette procédure ,
Procédure de demande de désinfection
puis de poster le rapport du scan en lien avec cet herbergeur

Tous les rapports de scan demandé doivent être impérativement posté en lien et figuré dans la même réponse

Un helper va prendre ton sujet en charge au plus vite


_DELL_

Re: Voilà le lien du scan ZHP, j'espère que c'est correct...

http://cjoint.com/?3CshE4YnPcU

@+

Bonjour levieuxminou, on va verifier

• Télécharge Roguekiller (par tigzy) sur le bureau
• Quitte tous tes programmes en cours
• Lance RogueKiller.exe.
• Sous Vista/Seven, clique droit et lancer en tant qu'administrateur
• Attendre que le Prescan ait fini ...
• Clique sur Scan.
• Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse

Bonjour.
Merci instructions Roguekiller, ci-après cc du scan:

RogueKiller V8.8.11 [Mar 14 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 03/20/2014 06:39:09
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7C56244)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
::1 localhost #[IPv6]
0.0.0.0 adservices.google.com googlesyndication.com
127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) MAXTOR STM380215A +++++
--- User ---
[MBR] 3d48d38b049d2e0bfb155d615772ac57
[BSP] 52e374eb4f3fa44cd065c48aeb63699b : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 12001 Mo
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 24579450 | Size: 64314 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) WDC WD2500BB-00RDA0 +++++
--- User ---
[MBR] fb027e523eeb1a1efe98b2762621a21d
[BSP] 6d9c8bb4f6ab52afd5159692300a9d85 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 2996 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 6136830 | Size: 235476 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_03202014_063909.txt >>

------------------------------------------------------------------------------
Bonne journée et, merci

Rebonjour.
Etant curieux, j'ai regardé le scan de Roguekiller à l'écran et dans l'onglet Driver qui ne me semble pas repris dans le rapport, je trouve une ligne qui m'interpelle à tort ou à raison? Puis-je vous la signaler sans paraître vouloir interférer dans votre travail ? Si non, inutile de perdre votre temps à ma répondre.
Merci et bonne journée

Bonjour le vieuxminou, bien sur tu peux me la signaler

En attendant cette ligne, relance roguekiller
Clique sur suppression
Poste le rapport

Bonjour zaede
Primo, ci après copie de la ligne :
----------------------------------------------
Driver

Processus SSDT
Index 53
API NtCreateThread
Module Unknown
Chemin du module Unknown
Adresse 0xf7c56244
Legitime Faux
------------------------------
Seule ligne notée "Faux" en + des manques d'identification module et chemin !?.
Par ailleurs je relance Roguekiller comme prescrit..
(Pour info, ça ne s'arrange pas vraiment (lenteurs surf et surtout ouverture de sites, et au démarrage PC pendant la phase écran bleu clair, fonctionnement disque comme s'il y avait chargement ou démarrage d'application. Impression, pas forcément réalité).
Merci d'avoir continué et, bonne journée.

Rebonjour.
Scan réalisé avec RC mis à jour.
Ci-après rapport après suppression.
---------------------------------------------------------------------------------------------------

RogueKiller V8.8.12 [Mar 20 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 03/24/2014 09:22:34
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7B49334)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
::1 localhost #[IPv6]
0.0.0.0 adservices.google.com googlesyndication.com
127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) MAXTOR STM380215A +++++
--- User ---
[MBR] 3d48d38b049d2e0bfb155d615772ac57
[BSP] 52e374eb4f3fa44cd065c48aeb63699b : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 12001 MB
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 24579450 | Size: 64314 MB
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) WDC WD2500BB-00RDA0 +++++
--- User ---
[MBR] fb027e523eeb1a1efe98b2762621a21d
[BSP] 6d9c8bb4f6ab52afd5159692300a9d85 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 2996 MB
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 6136830 | Size: 235476 MB
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_03242014_092234.txt >>
RKreport[0]_S_03202014_063909.txt;RKreport[0]_S_03242014_092209.txt

-------------------------------------------------------------------------------
A tout hasard, je vous signale que ce matin, j'avais tenté un scan rootkit avec mon antivirus(Avira) qui na pas démarré ledit scan. Je n'ai pas d'idée préconçue étant donné le fonctionnement actuel du PC. Et par ailleurs dans la zone bas de page, message de Mozilla signalant que le démarrage "paraissait" long...
Bonne reprise de semaine.
@+
- Ajout pour info: 24/03/2014
Après MàJ auto de Avira, j'ai relancé un scan rootkit qui a fonctionné mais ne signale strictement rien ni en objets cachés, fichiers, etc. Par contre le fonctionnement reste le même donc, RAS.

Re, ok dnc le fonctionnement reste ralenti?
A priori il s'agit d'un faux positif d'avira

* Télécharge Malwarebytes Anti-Rootkit / MBAR

http://downloads.malwarebytes.org/file/mbar

* Décompresse le contenu du dossier dans un emplacement idéal.
* Ouvre le dossier où le contenu a été décompressé et exécute mbar.exe
* Clic-droit => Exécuter en tant qu'administrateur sur le fichier mbar.exe
* Suis les instructions de l'assistant pour faire la mise à jour
* Sélectionne "les 3 cases (drivers, Sectors, System) ".
* Clique sur [Scan].
* Si le programme n'a rien trouvé, clique sur Exit.
* Clique sur le bouton Nettoyage pour supprimer toutes les menaces
* Redémarre ton PC si tu es invité à le faire.
* Attends que le système s'arrête pour que le processus de nettoyage soit terminé.
* Effectue une deuxième analyse avec Malwarebytes Anti-Rootkit pour vérifier qu'aucune menaces demeurent.
Si c'est le cas, clique sur Nettoyage et répéte l'opération.
* Lorsque terminé,
* Poste les deux rapports qui se trouvent dans MBAR dossier ..... mbar-log.txt et du système log.txt d'ou tu as lancé Mbar.exe en général le Bureau.

Bonjour zaede.
Affirmatif, fonctionnement et ouverture logiciels (Firefox par exemple) très ralentis, inchangé, Je dirais même éventuellement "faux négatif " d'Avira?, s'il y a infection.
Je lance la manip "mbar"
Bonne journée, et merci.

Re.
C'est fait, résultat négatif avec mention d'inutilité de lancer un nettoyage (et pas de zone de saisie pour lancer cette option. Sauf instruction contraire, je ne relance pas MBAR ?
Ci après les liens des 2 Logs

http://cjoint.com/?3CzieZvROWB
http://cjoint.com/?3CzhYsshCWb

Bonne journée.

Re, pas de rootkit, ce qui n'est pas négligeable

Poste le rapport d'Avira via cjoint si possible

Pour firefox

Réinitialisez Firefox


Dans la barre d'adresse de Firefox tapez about:support

Sur la page qui s'affiche cliquez sur Réinitialiser Firefox

http://img86.xooimage.com/files/0/f/e/a ... 8054ee.jpg


Tous Les paramètres Firefox et informations personnelles sont conservées dans votre dossier de profil.
La fonctionnalité de réinitialisation fonctionne en créant un nouveau dossier de profil pour vous tout en conservant :

- Les marque-pages,
- L'historique de navigation,
- Les mots de passe,
- Les cookies,
- Les informations auto-complétées de formulaires Web.

Ceci fait quittez Firefox et redémarrez le.

Bonjour.
Me voila soulagé car c'étaient les disques durs qui m'inquiétaient le plus.
Bien sur j'avais conservé le log de scan d'Avira

Http://cjoint.com/?3CAkXnU7E8q

que voilà.
Pas de problème pour réinitialiser Firefox, je m'y mettrai dés demain, je pense
Bonne journée.

Re, ce scan est clean, je pensais a un des scan positif d'Avira

Re, merci, donc je m'y attèle et au pire, j'ai fais une image.
(Nota: moi aussi je pensais à un faux "négatif" ...) Et entre temps j'ai fais une vérif en supprimant le fichier $Soft "autoexec.nt" qui permet les applications 16 bits (qui m'est nécessaire), mais rien à voir avec le pb...
Bonne journée.

Edit 08:45
Echec car, si la rapidité de FF est considérablement améliorée, le démarrage de Windows reste aussi long dans sa 2me phase après l'écran d'accueil) écran bleu ciel vierge, activité soutenue disque dur...)
Je vais essayer de revenir à un état très antérieur (fin 2012) par image, pour voir...
@+

Edit 09:20
Etat FF v.16.02
OK, démarrage Windows durée estimable en secondes. Je vais par images successives, essayer de déterminer l'époque du changement...

Edit 11:20
Problème réglé semble t-il, avec une image fin 2012. Le problème a commencé à apparaître ensuite en s'aggravant avec le temps. Je soupçonne un utilitaire.
Je vous propose de mettre l'affaire entre parenthèses en attendant la réalisations des mises à jour indispensables, si vous êtes d'accord.
Désormais les démarrages Windows et Firefox sont TRÈS rapides et il n'y a plus d'écran bleu ciel après celui de bienvenue.
Il me reste à vous remercier beaucoup et sincèrement.

Re, par contre il faudra refaire un scan ZHPDiag, les infections se sont remises probablement

Bonjour.
Merci, mes excuses pour le temps de réponse, je suis sur l'autre ordi qui présentait les mêmes symptômes mais qui semble être récupéré par utilisation d'une image très ancienne. (Je soupçonne un problème Windows avec une application 16 bits (Windows mais avec correctif mal adapté)
Je passe donc sur l'ordi objet du présent sujet et lance ZHPdiag...

Voilà, ZHPdiag exécuté.
http://cjoint.com/?3DeiJeDRwm5
Encore merci et, bonne fin de semaine.

Bonsoir levieuxminou, ce rapport est clean et c'est une bonne nouvelle en soi
Tu as encore des soucis avec ce PC?

Bonjour.
Merci, oui c'est l'impression que j'en avais mais, démarrages et fonctionnement toujours insupportables. Aussi comme sur mon 1er PC qui souffrait des mêmes Pbs, j'ai tout récupéré par image à l'état proche de l'installation et tout réinstallé et reconfiguré entièrement, c'est sur lui que je fonctionne. Je ne suis donc plus en état d'urgence et vais pouvoir tenter des réparations de Windows avant d'envisager le formatage. (réparations que je ne pouvais pas envisager s'il avait été infecté et manque d'image suffisamment ancienne? )
Donc avec mes remerciements je pense qu'on pourrait passer le sujet en résolu?.
Bon W.E.