Bonjour à tous,
 
Je vous explique mon problème, aprés une analyse rapide avec Avast, il me detecte 3 maware à priorité haute :  
    -Menace : BV:Malware-gen
    -Menace : Win32:Malware-gen
et -Menace : Win32:Malware-gen           mais sur un autre fichier  
 
premier fichier : C:\Wlid.bat
deuxième : C:\WLID.EXE|>WLID.exe
troisième : C:\WLID.EXE|>wlcon.exe
 
Quand je veux les passer en quarantaine, il me dit que l'accès est refusé
 
Quelqu’un aurait t'il une solution ?  

Vérifie que ces fichiers ne soient chargés en mémoire (ctrl+alt+suppr -> tous les utilisateurs).  
 
Si oui, tue le(s) processus (clic droit -> Terminer l'arborescence du processus).  
 
Vérifie bien toutes les occurrences pour wlid.exe et wlcon.exe.  
 
Enfin tente enfin de finaliser l’éradication par avast.
 
 
Fais ensuite une analyse avec HiJackThis (x64), OTL ou ZHP et poste le rapport sur un de ces sites rapport voir http://www.hijackthis.de/fr et/ou http://pjjoint.malekal.com vérifie s'il reste des traces d'infection.  
 
Si tout est propre, fais un petit nettoyage des caches et registres (Ccleaner) et relance une analyse de surface (avast ou mieux mbam).
 
En cas de doute reviens ici poster les questions et points en défauts

Euhh qu'est ce que tu entend par "chargé en mémoire" ? ^^
C'est à dire si les font partie de la liste des processus de tous les utilisateurs ?
Si oui il n'ont pas l'air d'en faire partie

Ils peuvent être cachés, process explorer ou process monitor de sysinternal permettraient d'avoir plus de détails. Toutefois si tu n'est rompu à l'analyse des processus mémoires, cela risque d'être difficile.  
 
Sinon que dit l'analyse HJT ?

HJT semble globalement normal, le seul truc mauvais est cette ligne :  
 
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 
il me dit que ça devrait dans le repertoire système32
 
(je peux le remettre moi meme ? )
 
je vais essayer process explorer, je dois chercher si un des fichier qui pose problème serait pas actif mais caché si j'ai bien compris ?

Visiblement il y est déjà sinon tu n'accèderai pas au système. Vérifie qu'il est bien démarrer dans les services (ctrl+alt+suppr -> onglet services).  
 
Ne touche à rien, ne le déplace pas (si tenté que tu puisses le faire).
 
C'est quoi le message complet ? là HJT met juste Unknown owner (propriétaire inconnu) ce qui est logique puisque il est gérer par le compte system (Réseau local restreint - LocalSystemNetworkRestricted) et donc ne peut être désactiver manuellement.
 
Ok pour process explorer.  
 
Sinon tes 3 fichiers  
premier fichier : C:\Wlid.bat
deuxième : C:\WLID.EXE|>WLID.exe
troisième : C:\WLID.EXE|>wlcon.exe  
 
Si tu les supprime manuellement ça dit quoi ?
 
Serais-tu capable d'éditer le fichier Wlid.bat (clic droit + modifier pour l'ouvrir dans le blocnote) et de copier le contenu ici ? Attention il ne faut pas cliquer dessus ! ni l’exécuter !
 

voila ce que j'ai dans le fichier wlid.bat ( si c'est ce que tu demande)
 
@echo off
if exist c:\perlb\ goto next
"c:\WLID.exe" /q /t:"c:\perlb\"
:next
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V WLID /D "C:\perlb\WLID.exe" /f
attrib +h c:\perlb
start c:\perlb\WLID.exe
exit
 
je sais pas ou trouver les 3 fichier pour les supprimer manuellement
et au niveau du message hjt ça dit :  
Méchant, cette tâche devrait se trouver dans le répertoire System32. Ce service (svchost.exe) semble être méchant.
Tâche ne se trouve pas dans le répertoire System32 !  
 
mais un commentaire le note neutre en disant :  
27.11.2010 - Related to Windows Driver Foundation - User-mode Driver Framework User-mode driver framework is a method of having drivers ran in "user space" instead of "kernel space." This provides better system stability due to a situation of a driver crashing, it only brings down the driver and not the system. Note: Located in %WINDIR%%System% Note: This service on Vista or Windows 7 - 64 bit operating system is launched by svchost.exe, but the actual application is what is listed as the filename.  

D'après ce que je lis ces fichiers sont dans un dossier cachés à la racine du disque (perlb).
 
Essaie d'afficher les fichiers cachés et de repérer ce dossier.
 
Au besoin lance une console (cmd.exe) puis tape :
cd / (aller directement à la racine du DD C:\)
dir /ah (afficher les fichiers cachés)
 
Et vois si tu trouves un dossier "perlb"
 
------
 
La deuxième chose c'est qu'une valeur est inscrite dans le registre section Run (exécution au démarrage de windows), il va falloir la supprimer.
Lance l'éditeur de registre et développe la clef  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
Avant de faire quoi que ce soit, fais-en une sauvegarde -> clic droit sur Run dans le volet de gauche puis Exporter donne lui le nom de run_virus.reg (ne touche plus a ce fichier)
 
Ceci fait refais la même manipulation -> clic droit sur Run dans le volet de gauche puis Exporter, mais au moment d'enregistrer sélectionne fichier texte (*.txt) dans type et donne lui le nom de virus.txt
 
Ouvre virus.txt et poste le contenu ici  
 
----
 
Ces deux premières étapes pour voir de plus près la bestiole (rootkit à mon avis) et choisir éventuellement des outils plus adéquats
 
----
 
Coté détection dans un premier temps tu vas télécharger et exécuter blacklight (tuto français ici : http://www.malekal.com/2010/11/12/ [...] acklight/) le logiciel permet de détecter et d'éliminer les processus, dossiers, fichiers et clefs de registre cachés.
 
Ensuite pour finir tu vas télécharger Gmer (un autre type de scanner) et lancer une analyse toute option cochée (tuto français ici : http://forum.malekal.com/gmer-scan [...] 3218.html) Gmer date un peu mais il est complet et reste efficace pour la détection dans certaines zones système.
 
 
---
 
PS : Pour svchost (service host) et wudf (windows user driver) pour l'instant on ne fait rien, l'un chargeur de service il en contient plusieurs dont certains sont vitaux, l'autre gère les pilotes en mode utilisateur (plug and play). Les deux sont nécessaires au système et de toute façon difficilement désactivable sans créer d'instabilité.

J'ai chercher un peu avec les fichiers caché affichés, je n'ai pas trouvé de dossier perlb.
 
voila pour la clef de registre run :
 
Nom de la clé :          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nom de la classe :        <Sans classe>
Heure de dernière écriture :   19/05/2012 - 20:45
Valeur 0
  Nom :            RtHDVCpl
  Type :            REG_SZ
  Données :            C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
 
Valeur 1
  Nom :            Skytel
  Type :            REG_SZ
  Données :            C:\Program Files\Realtek\Audio\HDA\Skytel.exe
 
Valeur 2
  Nom :            avast5
  Type :            REG_SZ
  Données :            "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
 
Valeur 3
  Nom :            Diamondback
  Type :            REG_SZ
  Données :            C:\Program Files\Razer\Diamondback 3G\razerhid.exe
 
Valeur 4
  Nom :            Adobe Reader Speed Launcher
  Type :            REG_SZ
  Données :            "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 
Valeur 5
  Nom :            Adobe ARM
  Type :            REG_SZ
  Données :            "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
 
Valeur 6
  Nom :            D-Link D-Link Wireless N DWA-140
  Type :            REG_SZ
  Données :            C:\Program Files\D-Link\DWA-140 revB\AirNCFG.exe
 
Valeur 7
  Nom :            Monitor
  Type :            REG_SZ
  Données :            C:\Windows\PixArt\PAC207\Monitor.exe
 
Valeur 8
  Nom :            DivXUpdate
  Type :            REG_SZ
  Données :            "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
 
Valeur 9
  Nom :            DivX Download Manager
  Type :            REG_SZ
  Données :            "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start
 
Valeur 10
  Nom :            SunJavaUpdateSched
  Type :            REG_SZ
  Données :            "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
 
Valeur 11
  Nom :            LogMeIn Hamachi Ui
  Type :            REG_SZ
  Données :            "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
 
Valeur 12
  Nom :            NPSStartup
  Type :            REG_SZ
  Données :            
 
 
Nom de la clé :          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
Nom de la classe :        <Sans classe>
Heure de dernière écriture :   06/06/2010 - 19:40
Valeur 0
  Nom :            <SANS NOM>
  Type :            REG_SZ
  Données :            
 
 
Nom de la clé :          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL
Nom de la classe :        <Sans classe>
Heure de dernière écriture :   06/06/2010 - 19:40
Valeur 0
  Nom :            <SANS NOM>
  Type :            REG_SZ
  Données :            
 
Valeur 1
  Nom :            Installed
  Type :            REG_SZ
  Données :            1
 
 
Nom de la clé :          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI
Nom de la classe :        <Sans classe>
Heure de dernière écriture :   06/06/2010 - 19:40
Valeur 0
  Nom :            <SANS NOM>
  Type :            REG_SZ
  Données :            
 
Valeur 1
  Nom :            Installed
  Type :            REG_SZ
  Données :            1
 
Valeur 2
  Nom :            NoChange
  Type :            REG_SZ
  Données :            1
 
 
Nom de la clé :          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS
Nom de la classe :        <Sans classe>
Heure de dernière écriture :   06/06/2010 - 19:40
Valeur 0
  Nom :            <SANS NOM>
  Type :            REG_SZ
  Données :            
 
Valeur 1
  Nom :            Installed
  Type :            REG_SZ
  Données :            1
 
 
 
Pour blacklight, il existe en version windows 7 ?
 
Merci de ton aide et désolé de mettre un peu de temps à répondre ^^
 

Oui BlackLight 2.2.1092.0 est compatible vista/seven je t'ai donné le lien dans mon précédent message.
 
Pas de problème pour le temps

quand je l'ai téléchargé via le lien que tu m'a passé, ils m'ont dis que le logiciel n'était pas compatible avec ma version de windows
quand je le lance quand meme, bah il se passe rien ^^ la fenetre se ferme et c'est tout

Oups autant pour moi, j'étais sur de l'avoir testé sous seven, désolé...
 
Bon prend TDSSKiller (tuto ici)

voila les resultat de TDSSKiller :
=
13:58:34.0943 3276 Detected object count: 2
13:58:34.0943 3276 Actual detected object count: 2
14:01:58.0964 3276 Akamai ( HiddenFile.Multi.Generic ) - skipped by user
14:01:58.0964 3276 Akamai ( HiddenFile.Multi.Generic ) - User select action: Skip  
14:01:58.0965 3276 sptd ( LockedFile.Multi.Generic ) - skipped by user
14:01:58.0965 3276 sptd ( LockedFile.Multi.Generic ) - User select action: Skip  
 
 
j'ai pas mis tout le rapport juste la fin, tu me dis si tu as besoin du reste

Ok la version de deamon tools est correcte ? (téléchargée depuis le site source)
 
Peux-tu identifier l'application qui utilise Akamai ?  
 
Pour le rapport tu peux le poster sur cijoint, mais uniquement si tu as des doutes sur certains fichiers.

Honnêtement je n'en ai aucune idée
 
J'ai téléchargé deamon tools il y a très longtemps et je ne m'en sers plus (je peux le désinstaller si sa peut aider)
 
et Akamai de ce que j'ai vu sur internet c'est une sorte d’accélérateur donc c'est peut être quelque chose que j'ai téléchargé à l'époque ou qui va avec un lecteur que je n'utilise pas.
 
Pour le rapport je pense pas m'y connaitre assez pour avoir un doute sur une ligne x)

Suite aux conseils avisés d'un pro, voici ce qu'on te conseille de faire :
 
1 - D'abord poste le rapport complet de TDSSKiller sur cijoint.com
 
2 - Télécharge AdwCleaner et exécute-le en tant qu'administrateur.  
- Clique sur Recherche et poste le rapport généré C:AdwCleaner[R1].txt sur cijoint.com
 
3 - Télécharge ZHPDiag
- Enregistre-le sur ton Bureau    
- Pour lancer l’installation : double-clique sur "ZHPDiag.exe"
- Coche la case permettant de placer un raccourci sur le Bureau
 
Trois nouvelles icônes apparaissent sur le Bureau : ZHPDiag, ZHPFix et MBRCheck
 
- Pour lancer l’exécution, double-clique sur "ZHPDiag"
 
- Vérifie la mise à jour de ZHPDiag en cliquant sur
- Clique sur , puis sur
- Pour lancer l'analyse, clique sur
 
Le logiciel peut donner l'impression d'être bloqué : patiente jusqu’à ce que le scan indique 100%. En cas de blocage réel décoche la (les) ligne(s) bloquée(s) à l’aide de
 
- Tu trouveras le rapport généré par cette analyse sur le Bureau : il se nomme ZHPDiag.txt
 
Pour finir poste le rapport sur cijoint.com
 
 
 
 

Bonjour,
 
je m'excuse de ma très longue période d’absence et j'ai enfin les documents que tu m'avais demander x)
 
analyse ZHPDiag :  http://cjoint.com/?BKdsyHxBD6m
 
analyse AdwCleaner : http://cjoint.com/?BKdsB6F6UYh
 
Merci d'avance si tu es encore dans le coin ^^