HIDDEN.ADS Virus ou pas ?

[thienade]

Bonjour à toutes t à tous

J'ai une alerte avec Roguekiller Hidden.ADS dans C:\Windows:nlsPreferences
De plus j'ai mon PC qui est lent même très lent et je crois avoir prix quelques chose

Quelqu'un aurait il la bonté de jeter un oeil ou deux sur ce rapport et éventuellement me donner un coup de main pour désinfecter ma machine

De plus pendant le scan j'ai plusieurs fenêtres qui s'ouvrent
Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur \Device\harddisk4\DR4 et le même en 5

Merci d'avance

RogueKiller V11.0.11.0 (x64) [Feb  8 2016] (Premium) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : Admin [Administrateur]
Démarré depuis : C:\Users\Admin\Downloads\Antivirus\RogueKillerX64.exe
Mode : Suppression -- Date : 02/13/2016 09:04:59

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 1 ¤¤¤
[Hidden.ADS][Flux] C:\Windows:nlsPreferences -> Supprimé(e)

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 7 (Driver: Chargé) ¤¤¤
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CREATE[0] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CLOSE[2] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_POWER[22] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0xfffffa800c7382c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_PNP[27] : Unknown @ 0xfffffa800c7382c0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ATA WDC WD5000AAKX-0 SCSI Disk Device +++++
--- User ---
[MBR] b9b402dca40caa2c0ce5d3072c8468cd
[BSP] 21f8f6310c0085e1b023c0d4917592a6 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 476937 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ATA WDC WD1003FBYX-0 SCSI Disk Device +++++
--- User ---
[MBR] 63de9e4130c55f32bedfe0a5370723d3
[BSP] 0e95db1e395d34498751c3ca0afe69bb : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 953766 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive2: Canon MG7100 series USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: WD 15EARS External USB Device +++++
--- User ---
[MBR] bc76863915bf718d73735d6a97e852af
[BSP] a638d79a8fe2c15ecc53534499b8808f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1430797 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: Lexar CFUDMASD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive5: Lexar CFUDMASD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive6: WD Ext HDD 1021 USB Device +++++
--- User ---
[MBR] 05aee371d93f387df4a71a7122d9754e
[BSP] 6cf44bedc3f4e0098bfb6f4141612e05 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1907726 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive7: WD Ext HDD 1021 USB Device +++++
--- User ---
[MBR] b0cc877080e837803bb17fb4ae3fd15d
[BSP] 20f20ab92db21319c2a4c33b084986cc : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953866 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive8: WD Elements 107C USB Device +++++
Error reading User MBR! ([57] Paramètre incorrect. )
Error reading LL1 MBR! ([79] Le délai de temporisation de sémaphore a expiré. )
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive9: WD My Book 1230 USB Device +++++
Error reading User MBR! ([57] Paramètre incorrect. )
Error reading LL1 MBR! ([79] Le délai de temporisation de sémaphore a expiré. )
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive11: USB Mass  Storage Device USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

[Curson]

Bonjour thienade,

Bienvenue sur le forum Adlice.

L'ADS C:\Windows:nlsPreferences fait partie du système de protection Nalpeiron Licensing System. Il s'agit d'un faux-positif que tu peux ignorer.

De plus pendant le scan j'ai plusieurs fenêtres qui s'ouvrent
Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur \Device\harddisk4\DR4 et le même e

Il s'agit d'un bug connu qui sera corrigé dès que possible.

Utilises-tu un système d'émulation de lecteur CD/DVD tel que DAEMON Tools ou autres ?

Meilleures salutations.

[thienade]

Bonsoir Curson

Merci pour votre retour et l’examen du fichier posté.
Merci pour l'analyse du HIDDEN
Oui j'ai un émulateur de DD avec mon logiciel de gravure
Je ne comprends pas cette lenteur surtout sur Firefox et Internet et  qui est apparu il y a 2 mois
Si vous avez une idée je suis preneur

A bientôt et encore merci

[Curson]

Bonsoir thienade,

Nous allons poursuivre les investigations.

Télécharge Farbar Recovery Scan Tool (x64) et enregistre-le sur le Bureau.

• Fais un clic droit sur le fichier téléchargé (FRST64.exe) et choisi "Exécuter en tant qu'administrateur". Quand l'outil démarre, clique sur Oui pour accepter les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Clique sur le bouton Scan.
  
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  
• Attache ce rapport dans ta prochaine réponse.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST64.exe. Attache également ce rapport dans ta réponse.
  

Meilleures salutations.

[thienade]

Bonsoir Curson

Merci pour votre réponse

Cordialement

[Curson]

Bonsoir thienade,

Ton système n'est pas infecté mais endommagé.
Le système de fichiers d'un de tes disques durs est corrompu :

Error: (02/16/2016 05:33:52 PM) (Source: Ntfs) (EventID: 55) (User: )
Description: La structure du système de fichiers sur le disque est endommagée et inutilisable.
Exécutez l’utilitaire chkdsk sur le volume \Device\HarddiskVolume14.

De plus, tu utilises bon nombres de logiciels piratés. J'attire ton attention sur les risques que cela comporte.
Tu peux supprimer FRST, JRT ainsi que les fichiers associés.

Meilleures salutations.

[thienade]

Bonsoir Curson

Encore merci pour votre aide. Je ne comprend pas quand vous dites ma machine n'est pas infectée alors comme cela se fait que j'ai des lenteurs impensables et surtout sur Internet.
C'est a devenir fou
Concernant le lecteur comment je sais lequel c'est (Exécutez l’utilitaire chkdsk sur le volume \Device\HarddiskVolume14.)
Et pour la désinfection je fais comment avec FRST il manque un fichier fislist.txt

Pas eviendent

Cordialement

[Curson]

Bonsoir thienade,

Comme je l'ait dit précédement, ton systeme est endommagé, ceci pouvant entrainer les ralentissements que tu décris.

Name: Audio Bluetooth
Service: btwaudio
Problem: : This device cannot start. (Code10)
Name: Bluetooth Remote Control
Service: btwrchid
Problem: : This device cannot start. (Code10)
Name: NetGroup Packet Filter Driver
Service: npf
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Name: Network Attached Storage
Problem: : The drivers for this device are not installed. (Code 28)
Name: ntk_PowerDVD
Service: ntk_PowerDVD
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Name: Bluetooth L2CAP Interface
Service: btwl2cap
Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)
Name: Samsung GT-P5110
Service: WUDFRd
Problem: : This device cannot start. (Code10)

Concernant le lecteur comment je sais lequel c'est (Exécutez l’utilitaire chkdsk sur le volume \Device\HarddiskVolume14.)

Il s'agit très vraisemblablement du lecteur système.
Lance une l'Invite de commandes en tant qu'administrateur et copie/colle la commande ci-dessous :

Code: [Select]

chkdsk C: /f /v /xAutorise chkdsk à se lancer au prochain redémarrage et redémarre ensuite l'ordinateur pour lancer l'analyse.

Et pour la désinfection je fais comment avec FRST il manque un fichier fislist.txt

Cette étape de la procédure est uniquement nécessaire lors d'infections.

Meilleures salutations.

[thienade]

Bonjour

Petit message pour vous dire que tout est rentré dans l'ordre
Pour le problème de lenteur internet c’était tout simplement du a un plantage de Mozilla
-> Réparation du dit programme et tout re fonctionne correctement.
En tout cas un grand merci pour les analyses et pour pour la reparution du DD

Bonne fin de week end

Et envore merci pour tout

[Curson]

Bonjour thienade,

Heureux d'avoir pu t'aider.

Meilleures salutations.