[Résolu] Virus ? o.O " La mémoire ne peut être ' read ' "

enigmo

29 Juillet 2009 14:15:17

Bonjour,

je sais pas si je suis au bon endroit, d'avance désolé,
mais l'on m'a dit qu'il pouvait s'agir d'un virus, donc ...

Bref, j'ai eu un problème sur mon PC et j'ai voulu restaurer mon système à une date antérieure. Seule problème quand je suis sur l'outil de restauration du système avec le calendrier, j'ai ce message qui s'affiche :

Citation :

L'instruction à " 0xXXXXXXXX " emploie l'adresse mémoire " 0x00000000 ".
La mémoire ne peut être " read ".

Ma question était donc, que puis-je faire pour éviter ce truc ?

Pour la restauration du système, comme ça met quelques secondes à s'afficher j'ai pu revenir à hier >.>
Donc j'ai résolu mon problème d'affichage temporairement.

Mais je voudrais revenir au tout début du PC, comme il est d'occasion.
Car il me manque par exemple : run32.dll
(ou quelque chose comme-ça, qui me gêne pour changer l'affichage, et
supprimer les programmes système).

Si une âme charitable pouvait m'aider, je lui en serait très reconnaissant

Je vous remercie de m'avoir lu,
Cordialement, Enigmo.

Autres pages sur : resolu virus memoire read

| Etre averti des réponses
| Alerter

Répondre à enigmo

Destrio5

29 Juillet 2009 14:29:21

Bonjour,

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

| Alerter

Répondre à Destrio5

enigmo

29 Juillet 2009 14:31:51

Ok, merci beaucoup.

Je fais ça et j'édite ce message pour le rapport alors !

| Alerter

Répondre à enigmo

Destrio5

29 Juillet 2009 14:33:16

Si tu édites le message, je n'aurais pas d'alerte de mon côté pour me signaler que tu as posté le rapport.

| Alerter

Répondre à Destrio5

enigmo

29 Juillet 2009 14:44:13

Bon ... donc désolé pour le message posté pour rien.

Voila le rapport :

Citation :

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2526
Windows 5.1.2600 Service Pack 3

29/07/2009 16:41:42
mbam-log-2009-07-29 (16-41-42).txt

Type de recherche: Examen rapide
Eléments examinés: 88005
Temps écoulé: 6 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\shoppingadshelper.browserwatcher (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingadshelper.browserwatcher.1 (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingadshelper.pornpro_bho (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingadshelper.pornpro_bho.1 (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingadshelper.precachebrowserhost (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingadshelper.precachebrowserhost.1 (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{647d5a4e-78b5-53ed-7e75-1940d1dffea4} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2c86c605-6081-d104-96f7-f765c20b22f1} (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\playmp3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ShoppingAdsHelper (Adware.ShoppingAdsHelper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Foxicle (Adware.Foxicle) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ShoppingAdsHelper.dll (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\PlayMP3z (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
C:\Documents and Settings\Richard\Menu Démarrer\Programmes\PlayMP3z (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\PlayMP3z\PlayMP3.exe (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
c:\program files\PlayMP3z\uninstall.exe (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
c:\documents and settings\Richard\menu démarrer\programmes\PlayMP3z\Run PlayMP3z.lnk (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
C:\autorun.inf (Virus.Rungbu) -> Quarantined and deleted successfully.
C:\Recycled\ctfmon.exe (Virus.Rungbu) -> Quarantined and deleted successfully.

Tu comprends quelque chose toi ?

| Alerter

Répondre à enigmo

Destrio5

29 Juillet 2009 14:45:49

Relance MBAM, va dans Quarantaine et supprime tout.

Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

Lance l'installation avec les paramètres par défaut.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur le raccourci UsbFix sur ton Bureau.

Choisis l'option 1 (Recherche).

Laisse travailler l'outil.

Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

| Alerter

Répondre à Destrio5

enigmo

29 Juillet 2009 14:59:12

Après avoir suivie les étapes, voici le rapport demandé :

Citation :

############################## | UsbFix V6.012 |

User : Richard () # ENIGMATIQUE
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 16:59:37 | 29/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090221-0] 4.8.1296 [ (!) Disabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,52 Go (58,2 Go free) [Système] # NTFS
D:\ -> Disque CD-ROM # 583,05 Mo (0 Mo free) [AOMG_D2] # CDFS
E:\ -> Disque fixe local # 74,53 Go (48,68 Go free) [Richard] # NTFS
F:\ -> Disque fixe local
G:\ -> Disque amovible # 455,59 Mo (105,19 Mo free) [ENIGMO] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Richard\Menu Démarrer\Programmes\Démarrage\ctfmon.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Richard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Richard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Richard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\autorun.inf
Présent ! D:\autorun.inf
Présent ! E:\Recycled\ctfmon.exe
Présent ! E:\autorun.inf
Présent ! G:\Recycled\ctfmon.exe
Présent ! G:\autorun.inf
Présent ! G:\copy.exe
Présent ! G:\host.exe

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{2a3f095a-c6d3-11dd-80ae-806d6172696f}
Shell\AutoRun\command =D:\_aomg.exe

HKCU\..\..\Explorer\MountPoints2\{2f08a7ad-16a1-11dd-9ba8-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\Recycled\ctfmon.exe
Shell\Open(&O)\command =C:\Recycled\Recycled\ctfmon.exe

HKCU\..\..\Explorer\MountPoints2\{53bda9cf-0b1a-11de-a476-000c76371fde}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command =G:\Recycled\ctfmon.exe

HKCU\..\..\Explorer\MountPoints2\{79e318fe-1aaf-11de-a494-000c76371fde}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command =G:\Recycled\ctfmon.exe

HKCU\..\..\Explorer\MountPoints2\{bf09beb8-e96a-11dd-a41f-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.012 ! |

| Alerter

Répondre à enigmo

Destrio5

29 Juillet 2009 15:06:37

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.

Choisis l'option 2 (Suppression).

Ton Bureau disparaîtra et le PC redémarrera.

Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

| Alerter

Répondre à Destrio5

enigmo

29 Juillet 2009 15:16:22

Merci encore, voila donc le rapport :

Citation :

############################## | UsbFix V6.012 |

User : Richard () # ENIGMATIQUE
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 17:10:12 | 29/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090221-0] 4.8.1296 [ (!) Disabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,52 Go (58,2 Go free) [Système] # NTFS
D:\ -> Disque CD-ROM # 583,05 Mo (0 Mo free) [AOMG_D2] # CDFS
E:\ -> Disque fixe local # 74,53 Go (48,68 Go free) [Richard] # NTFS
F:\ -> Disque fixe local
G:\ -> Disque amovible # 455,59 Mo (105,19 Mo free) [ENIGMO] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\autorun.inf
(!) Non supprimé ! D:\autorun.inf
Supprimé ! E:\Recycled\ctfmon.exe
Supprimé ! E:\autorun.inf
Supprimé ! G:\Recycled\ctfmon.exe
Supprimé ! G:\autorun.inf
Supprimé ! G:\copy.exe
Supprimé ! G:\host.exe

################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
# HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{79e318fe-1aaf-11de-a494-000c76371fde}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[30/04/2008 11:24|--a------|0] -> C:\AUTOEXEC.BAT
[19/06/2009 16:59|---hs----|212] -> C:\boot.ini
[24/08/2001 14:00|-rahs----|4952] -> C:\Bootfont.bin
[30/04/2008 11:24|--a------|0] -> C:\CONFIG.SYS
[30/04/2008 11:24|-rahs----|0] -> C:\IO.SYS
[30/04/2008 11:24|-rahs----|0] -> C:\MSDOS.SYS
[03/08/2004 23:38|-rahs----|47564] -> C:\NTDETECT.COM
[28/07/2009 15:39|-rahs----|252240] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[05/07/2009 02:59|--ahs----|4608] -> C:\Thumbs.db
[29/07/2009 17:12|--a------|2905] -> C:\UsbFix.txt
[08/07/2004 21:44|-r-------|122] -> D:\00000000.016
[08/07/2004 21:44|-r-------|1082] -> D:\00000000.256
[08/07/2004 21:44|-r-------|2048] -> D:\00000001.TMP
[08/07/2004 21:44|-r-------|40960] -> D:\DrvMgt.dll
[08/07/2004 21:44|-r-------|11376] -> D:\SECDRV.SYS
[16/07/2004 23:07|-r-------|45056] -> D:\_aomg.exe
[12/07/2004 23:57|-r-------|43] -> D:\autorun.inf
[02/08/2008 15:27|--ahs----|533] -> E:\desktop.ini
[03/03/2009 22:07|--a------|658] -> E:\Free Hide Folder.lnk
[31/07/2008 16:06|-rah-----|500149] -> E:\Image de fond de dossier.jpg
[27/04/2008 15:53|-rahsc---|0] -> E:\IO.SYS
[24/07/2009 14:59|--a------|27136] -> E:\Le‡ons du sorcier (De Terry Goodkind).doc
[21/07/2009 18:25|--a------|25600] -> E:\Metin - O— XP.doc
[27/04/2008 15:53|-rahsc---|0] -> E:\MSDOS.SYS
[08/03/2009 20:54|--a------|653] -> E:\MusicConverter.lnk
[?|?|?] -> E:\pagefile.sys
[07/07/2009 02:54|--a------|2237] -> E:\Styler.lnk
[01/06/2009 11:28|--a------|2333184] -> E:\Tableaux G‚n‚raux.xls
[23/01/2009 18:29|--ahs----|6144] -> E:\Thumbs.db
[13/06/2007 19:44|-r-h-----|161] -> G:\CDAInfo.txt
[13/06/2007 19:44|-r-h-----|0] -> G:\MEMSTICK.IND
[13/06/2007 19:44|-r-h-----|0] -> G:\MSTK_PRO.IND
[06/11/2007 12:39|---h-----|254] -> G:\Traceability.txt
[06/11/2007 12:39|---h-----|98] -> G:\MemStickInfo.txt
[02/08/2008 15:01|--a------|2962] -> G:\Citations Sun Tzu.txt
[24/07/2009 15:11|--a------|1062] -> G:\Le‡ons du sorcier (De Terry Goodkind).txt

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.012 ! |

Tu pense que ça va régler mon problème ?
Car je trouve ça un peu vicieu si c'est un virus...
J'aurais pu charger une ancienne sauvegarde, mais là quelque chose m'en empêche. Et comme j'ai pas le CD de windows (acheté d'occasion) je ne peux pas formater ... bref, je suis pieds et poings liés, heureusement que tu es là

| Alerter

Répondre à enigmo

Destrio5

29 Juillet 2009 15:22:02

Désinstalle UsbFix.

Que se passe-t-il à propos de run32.dll ?

Tu as une licence Windows collée sur ton PC ?

| Alerter

Répondre à Destrio5

enigmo

29 Juillet 2009 15:26:29

Oui ! J'ai bien vérifié la licence avant de l'acheter.

Mais je sais pas, soit j'ai fais une mauvaise manipe, ce qui m'étonnerait car les .dll je connais pas donc je touche pas.
Mais je m'en suis rendu compte en voulant changer de thème, il m'a dit qu'il manquait : run32.dll.

Et j'ai pas réussie à la trouver sur internet.
Pourtant y a des sites avec pleins de .dll, mais pas elle

Du coups je passe par " styler " pour le thème (système D).

Bon je désinstalle UsbFix, et en même temps j'essaie ça :
http://www.infos-du-net.com/forum/94709-7-memoire-read

Tu en pense quoi ?