Bonjour à tous,
Lors de l'installation de logiciels Nikon, mon PC a redémarré sans me poser de questions.
J'ai constaté que le répertoire avec mon nom d'utilisateur n'était plus visible.
Ensuite, au lancement de Firefox, je recevais un message disant que Firefox était en cours.
J'ai réinstallé Firefox, toujours le même souci.
Dans le gestionnaire de tâches, j'ai constaté que FX5VR2.exe prenait du volume au fil du temps.
J'ai fait la restauration Windows plusieurs fois mais rien n'y fait, cet exe est toujours là.
J'ai scanné plusieurs fois avec McAfee, Malware, SUPERAntispyware mais ils n'ont rien trouvé.

Voilà la situation actuelle.
Quelqu'un a-t-il une solution ?

D'avance merci.

Software:
Windows XP professionnel
McAfee
Malware
SUPERAntispyware

Bonjour juraph

Avant de faire quoi que soit on va commencer par un diagnostic de ton PC

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan


Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau
• Clique sur Options
• Clique sur Tous
  
• Clique en haut à gauche sur la loupe
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

Bonjour Lenapache,
Merci pour ta réponse rapide.
je suis au bureau actuellement et il s'agit de mon PC de la maison.
Ce soir, je ferai le scan et posterai le résultat.
Cordialament.

Bonsoir Lenapache,
Voici le lien où se trouve le rapport ZHPDiag: http://cjoint.com/?BFCv0K1E1pt
Encore merci pour ton support.
Jean-Claude

Bonjour juraph

Il y a bien des traces d'infection dans ton rapport mais aucune de FX5VR2.exe

Les rapports demandés doivent être postés en lien et dans la même réponse


Télécharge SEAF Enregistre ce fichier sur le bureau

• Double-clique sur SEAF.exe
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Dans la zone de recherche tape où copie/colle FX5VR2.exe
• Coche Chercher également dans le registre
• Clique sur Lancer la recherche.
• Patiente elle risque de durer un certain temps
• Celle-ci terminée un rapport s'affichera poste le en lien il risque d'être long, tu peux le trouver aussi ici C:\SEAFlog.txt

Suppression avec ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  
  • Clique maintenant sur (coller les lignes helper)
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
    
    
    
  • Clique sur
  • Confirme le nettoyage des données si demandé
    
    
    
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse
• Ce rapport se trouve aussi ici D:\ZHP\ZHPFix[R*].txt

Note : Tu as deux rapports à poster

Bonjour Lenapache,
Merci pour ta réponse.
De nouveau, j'effectuerai ces opérations ce soir après le boulot.
A bientôt,
juraph

Ok,

A ce soir juraph

Rebonjour,
je sais, j'abuse mais je suis curieux et j'aime comprendre, histoire de ne pas mourir idiot .
Tu me dis avoir trouvé des traces d'infection dans le rapport.
Où se trouve ce type d'info ?
D'autre part, pas de trace de FX5VR2 or il est renseigné par le task manager.
A bientôt,
juraph

Il n'y a pas de secrets, c'est en analysant le rapport que l'on détecte les traces d'infection.

DC:\DocumentsandSettings\jeanclaude\MenuDémarrer\Programmes\WindowsXPRecovery

Windows XP Recovery C'est un Rogue en clair un faux utilitaire de sécurité.

---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Quark Updater.job

Pas de traces de FX5VR2 dans les tâches planifiées ni ailleurs Seaf nous en apprendra plus

Bonsoir,
Voici le lien vers les rapports SEAF et ZHPFix:
SEAF FX5VR2: http://cjoint.com/?BFDvcXoh4Yj
SEAF FXSVR2: http://cjoint.com/?BFDveAGs8IA
ZHPFix FXSVR2: http://cjoint.com/?BFDvnbXs69u
ZHPFix FX5VR2: http://cjoint.com/?BFDvogtAehT

Je ne suis pas certain de la lettre S ou du chiffre 5.
A bientôt,
juraph

Bonjour juraph


Fais analyser C:\Program Files\Logitech\Video\FxSvr2.exe ici https://www.virustotal.com/
Poste le rapport qui sera généré

Bonjour Lenapache,
Virustotal me propose d'installer une version plus récente de IE mais les paramètres de sécurité m'en empêchent.
En fait je n'utilise pas IE mais j'ai déinstalle Firefox parce qu'il ne se lancait plus.
Que puis-je faire ?
juraph

J'ai installé google chrome.
Voici le lein : http://cjoint.com/?BGbpVnkx2Ch

A toutes fins utiles, voici le lien de FxSvr2.exe.local: http://cjoint.com/?BGbqakjW6lH
Je suis scotché à mon PC et attends ton verdict

Bonjour juraph

Je ne suis pas en vacances mais un peu cassé.

En ce qui concerne FxSvr2.exe il est sain mais on va par acquis de conscience le faire vérifier sur un autre site, fais de nouveau analyser ce fichier ici http://virusscan.jotti.org/fr

Bonjour Lenapache,
Ca fait vraiment plaisir de te lire.
Comme d'hab, je ferai l'analyse ce soir.
A bientôt,
juraph

Bonsoir Lenapache,
Je viens de pass virusscan.joti
Dans la aprtie inférieure "scanners', tout est 'rien trouvé'

Alors il est sain ce fichier

Je vais te faire passer un autre scan.

Scan RogueKiller


Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Et voilà

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: jean claude [Droits d'admin]
Mode: Recherche -- Date: 05/07/2012 21:00:47

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_DEVICE_CHANGE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3250310AS +++++
--- User ---
[MBR] 629b4bd374e9bc19a443b3f59ee3678c
[BSP] c9a04da5601bccf8576b79d62b92b0db : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 60000 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 122881185 | Size: 178464 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Bonjour juraph

¤¤¤ Driver: [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)
IRP[IRP_MJ_DEVICE_CHANGE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E08B40)

C'est un hook du MBR comme Daemon Tools est présent sur ton PC c'est tout à fait normal, par contre la c'est plus inquiétant :

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

On va vérifier ce point :

Télécharge aswMBR.exe enregistre ce fichier sur le bureau

• Double clique sur aswMBR.exe pour lancer le programme
• Pour Vista /Seven clic droit et Exécuter en tant qu'administrateur
• Accepte la mise à jour de la base antivirus Avast
• Clique sur Scan
• A la fin du scan, clique sur Save log et poste le résultat dans ta prochaine réponse