virus redemarrage pc

Bonjour à tous,

J'ai déjà ouvert un fil dans la catégorie dépannage car j'étais en "galère" avec mon pc portable après un formatage ... et grâce à votre aide je commence à peu près à en voir le bout !!!
Pour tenter d'être clair, j'ai un pc qui est connecté à internet (et celui-ci ne pose pas de problème, ouf!!) et un pc portable qui lui n'est pas connecté à internet...
Après avoir réinstallé les drivers, mon pc portable semble reprendre vie (je peux à nouveau lire des musiques, vidéos ...) et j'ai même réussi à le connecter sur la toile grâce à ma connection habituellement prise pour mon pc (vous me suivez toujours ?!!).
Enfin bref, quand je connecte mon portable au net, après quelques minutes sur internet, une fenêtre intempestive s'ouvre en disant un truc du genre "Autorité NT system .... Windows doit redémarrer car l'appel de procédure distante (PRC) s'est terminé de façon inattendue ...."
Je suis loin d'être un pro en informatique, mais il me semble bien qu'il s'agit d'un virus non??
Pouvez vous m'aider?
De plus, pouvez vous m'indiquez des anti virus gratuits efficaces ? (ça m'embêterait d'acheter un anti virus car je ne compte pas connecter beaucoup mon portable, juste occasionnellement, surtout pour les mises à jour ...)

Merci beaucoup et bravo pour ce site, c'est un grand recours pour les gens qui sont pas doués comme .... MOI !!!

Mike

salut.

en effet :c'est un vers.

Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
Si problème voir l’aide ci-dessou :
aide hijackthis

Merci beaucoup!

Le hic, c'est que c'est difficile de faire quoi que ce soit car, juste après le démarrage de l'ordinateur j'ai cette p**** de fenêtre qui m'annonce que mon ordi va devoir redémarrer !!!
J'ai quand même réussi mais une fois que j'ai le rapport je fais quoi avec, je le mets où ???

J'obtiens le rapport suivant :

Logfile of HijackThis v1.99.1
Scan saved at 12:08:46, on 15/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\zdkkqqm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe



Autant dire que c'est le brouillard pour moi !!!

De plus il semble que ce fichier hijackthis soit infecté d'un virus car depuis que je l'ai installé j'ai une autre fenêtre qui s'ouvre continuellement ""generic host process for win32 services" ....

Je suis un peu perdu je dois avouer ..... !!!!!

hijack infecté ? hahahah elle est bonne.

il manque la moitié de ton rapport en plus.

poste le en entié

Oooops !!

Le voici au complet :


Logfile of HijackThis v1.99.1
Scan saved at 12:08:46, on 15/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\zdkkqqm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\homyrg.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\qtqlb.exe
G:\hijackthis\test.exe.exe
C:\WINDOWS\system32\alha.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\alha.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\qtqlb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe



Et pour ce qui est du virus, le truc c'est que je passe par une clé usb pour passer les infos du portable au pc, et quand j'ai ouvert hijackthis sur le pc norton s'est déclenché en disant "virus grave ..." et l'a réparé ...

Et puis j'ai cette fenêtre qui s'ouvre tout le temps et que j'avais pas avant ... en tous cas merci beaucoup pour ton aide !!!!

fais ctrl + ald + supp ==> processus ==> spoolsvc.exe ==> terminer.

pareil pour

zdkkqqm.exe

homyrg.exe

qtqlb.exe

alha.exe

lance hijack et coche

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\alha.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\qtqlb.exe

fix checked

En ayant accés aux fichiers cachés
Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
Cocher = Afficher les fichiers et dossiers cachés
Plus bas
Décocher =Masquer les extensions des fichiers dont le type est connu
Décocher =Masquer les fichiers protégés du système d'exploitation
Ne pas tenir compte du message qui s’affiche


supprime dans C:\WINDOWS\system32\

spoolsvc.exe

zdkkqqm.exe

homyrg.exe

qtqlb.exe

alha.exe

winamp.exe

en mode sans échec si le mode normal ne marches pas.

vide ta corbeille.

télécharger sur le bureau
Navilog1.exe
= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier/coller dans la réponse


Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

Ok, donc j'ai fais tout ce que tu m'as dit :

Voici le rapport de Navilog :

Search Navipromo version 2.0.3 commencé le 15/08/2006 à 14:29:59,59

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\alban\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\protector.exe

Processus caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\protector.exe


*** Recherche fichiers ***





Voici le rapport de clean :



15/08/2006 a 14:32:36,20

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\csrss.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\cmh.exe FOUND
C:\WINDOWS\system32\mcrh.tmp FOUND
C:\WINDOWS\system32\rpcc.exe FOUND
C:\WINDOWS\system32\spooIsv.exe FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000??.dll" FOUND
"C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000?.dll" FOUND
"C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm000??.dll" FOUND
*** Fin du rapport !



Sinon, c'est normal que j'ai de plus en plus de fenetres "erreur machin bidule" qui s'ouvrent ?

Merci pour ta patience je sais que je suis un boulet !!!

bah la il y a des infections donc si les fenètres s'ouvrent ==> normal.

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
==> lance clean.zip et choisi choisi l'option 2

= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)

poste le rapport de clean.zip option 2.

Je dois aussi dire que j'ai pas tout trouvé tous les éléments que tu m'as dit de désactiver ... penses tu que cela ait pu être modifié entre temps ?
Penses tu qu'il faille que je rescan avec hijackthis et te renvoie le rapport ?

fais ce que j'ai dis au dessus pour le moment.

le hijack sera pour après.