philstev

J'ai fait un scan avec Ad Remover: ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:38:49 le 14/11/2011, Mode sans echec Microsoft Windows XP Édition familiale Service Pack 3 (X86) Philippe@ASROCK ( ) ============== RECHERCHE ============== ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [8.0 (fr)] **** HKLM_MozillaPlugins\Adobe Reader (x) Extensions\belgiumeid@eid.belgium.be (eID België) Extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}(2) (Default) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\FireFox\Profiles\98bhpgs5.default -- Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Philippe\\Mes documents\\Téléchargements Prefs.js - browser.startup.homepage, hxxp://www.google.be/ Prefs.js - browser.startup.homepage_override.buildID, 20111104165243 Prefs.js - browser.startup.homepage_override.mstone, rv:8.0 -- C:\Documents and Settings\Anaëlle\Application Data\Mozilla\FireFox\Profiles\pa5nioje.default -- Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.20 -- C:\Documents and Settings\Bénédicte\Application Data\Mozilla\FireFox\Profiles\fx68ptej.default -- Prefs.js - browser.startup.homepage, hxxp://www.google.be/ Prefs.js - browser.startup.homepage_override.buildID, 20111104165243 Prefs.js - browser.startup.homepage_override.mstone, rv:8.0 -- C:\Documents and Settings\François\Application Data\Mozilla\FireFox\Profiles\5f0gbs8y.default -- Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\François\\Bureau Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18 -- C:\Documents and Settings\Thomas\Application Data\Mozilla\FireFox\Profiles\7wm28j0n.default -- Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12 ======================================== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Search bar - hxxp://www.google.com/ie HKCU_Main|Search Page - hxxp://www.google.com HKCU_Main|Start Page - hxxp://www.google.be/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157 HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157 HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 0 Fichier(s) C:\Ad-Report-SCAN[1].txt - 14/11/2011 10:38:59 (437 Octet(s)) Fin à: 10:39:52, 14/11/2011 ============== E.O.F ============== Ensuite, j'ai faitun nettoyage: ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:41:23 le 14/11/2011, Mode sans echec Microsoft Windows XP Édition familiale Service Pack 3 (X86) Philippe@ASROCK ( ) ============== ACTION(S) ============== (!) -- Fichiers temporaires supprimés. ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [8.0 (fr)] **** HKLM_MozillaPlugins\Adobe Reader (x) Extensions\belgiumeid@eid.belgium.be (eID België) Extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}(2) (Default) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\FireFox\Profiles\98bhpgs5.default -- Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Philippe\\Mes documents\\Téléchargements Prefs.js - browser.startup.homepage, hxxp://www.google.be/ Prefs.js - browser.startup.homepage_override.buildID, 20111104165243 Prefs.js - browser.startup.homepage_override.mstone, rv:8.0 -- C:\Documents and Settings\Anaëlle\Application Data\Mozilla\FireFox\Profiles\pa5nioje.default -- Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.20 -- C:\Documents and Settings\Bénédicte\Application Data\Mozilla\FireFox\Profiles\fx68ptej.default -- Prefs.js - browser.startup.homepage, hxxp://www.google.be/ Prefs.js - browser.startup.homepage_override.buildID, 20111104165243 Prefs.js - browser.startup.homepage_override.mstone, rv:8.0 -- C:\Documents and Settings\François\Application Data\Mozilla\FireFox\Profiles\5f0gbs8y.default -- Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\François\\Bureau Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18 -- C:\Documents and Settings\Thomas\Application Data\Mozilla\FireFox\Profiles\7wm28j0n.default -- Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12 ======================================== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 13 Fichier(s) C:\Ad-Report-CLEAN[1].txt - 14/11/2011 10:41:28 (482 Octet(s)) C:\Ad-Report-SCAN[1].txt - 14/11/2011 10:38:59 (2867 Octet(s)) Fin à: 10:42:21, 14/11/2011 ============== E.O.F ============== J'arrive maintenant de nouveau à ouvrir une session normale. Peut-être serait-il bon de faire d'autres vérifications, mais pour cela, j'aimerais avoir encore vos conseils. Cordialement, Philippe

Après beaucoup de difficultés, j'ai réussi à installer Nod32 antivirus. Un scan a révélé qu'il y avait un cinquantaine de fichiers infectés par "win32/RegistryBooster" ; cependant, Nod 32 n'a réussi à en enlever q'un partie même en mode sans échec? J'ai essayé de lancer Eset Sysrescue, mais il me demande d'installer aupréalable le programme AIK de windows, ce que je ne suis pas parvenu à faire: il n'est plus possible de lancer un session normale, et AIK refuse de s'installer en mode sans échec! Que puis-je faire pour me sortir de ce mauvais pas?

Voilà le log de Malwarebyte: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Version de la base de données: 8146 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 12/11/2011 20:01:05 mbam-log-2011-11-12 (20-01-05).txt Type d'examen: Examen complet (C:\|E:\|) Elément(s) analysé(s): 439975 Temps écoulé: 40 minute(s), 41 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 5 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): e:\documents and settings\Philippe\mes documents\excalibur-antiwga\remove-wga.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully. e:\system volume information\_restore{de8b34f1-3d37-4b7e-bbd9-eb20d0632715}\RP530\A0067022.exe (Adware.Istbar) -> Quarantined and deleted successfully. e:\system volume information\_restore{de8b34f1-3d37-4b7e-bbd9-eb20d0632715}\RP530\A0067023.exe (Adware.Istbar) -> Quarantined and deleted successfully. e:\system volume information\_restore{de8b34f1-3d37-4b7e-bbd9-eb20d0632715}\RP530\A0067024.exe (Adware.Istbar) -> Quarantined and deleted successfully. e:\system volume information\_restore{de8b34f1-3d37-4b7e-bbd9-eb20d0632715}\RP530\A0067025.exe (Adware.Istbar) -> Quarantined and deleted successfully. On dirait que istabr a été supprimé: faut-il encore faire un autre scan?

J'ai suivi la procédure indiquée, et voici le rapport de malwarebyte: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Version de la base de données: 8146 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12/11/2011 17:19:33 mbam-log-2011-11-12 (17-19-20).txt Type d'examen: Examen complet (C:\|E:\|) Elément(s) analysé(s): 440881 Temps écoulé: 44 minute(s), 47 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 5 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): e:\documents and settings\Philippe\local settings\temporary internet files\Content.IE5\4PYJK5E3\mp3_plugin[1].exe (Adware.Istbar) -> No action taken. e:\documents and settings\Philippe\local settings\temporary internet files\Content.IE5\CPEVGPYN\mp3_plugin[1].exe (Adware.Istbar) -> No action taken. e:\documents and settings\Philippe\local settings\temporary internet files\Content.IE5\JQGBBPCP\mp3_plugin[1].exe (Adware.Istbar) -> No action taken. e:\documents and settings\Philippe\local settings\temporary internet files\Content.IE5\O9S5QVYN\mp3_plugin[1].exe (Adware.Istbar) -> No action taken. e:\documents and settings\Philippe\mes documents\excalibur-antiwga\remove-wga.exe (PUP.RemoveWGA) -> No action taken. Après cette désinfection, j'ai dû redémarrer en mode sans échec parce que ma session ne chargeait que mon fond d'écran. J'ajoute que je suis sans antivirus: je l'ai désinstallé parce qu'il n'y avait plus moyen de le débloquer, mais je ne suis pas parvenu a le réinstaller. J'ai essayé de faire un scan en ligne avec Nod 32, mais pas moyen de lancer la procédure; j'obtiens chaque fois un message d'erreur. Brrrr, je crois que je ne suis pas encore tiré d'affaire!

Pourtant, internet explorer, firefox et chrome restent très instables... ! Je relance un scan avec spybot à tout hasard, que puis-je faire d'autre?

Bonsoir Pear et merci de m'aider. Voici le lien vers le fichier ZHPDiag Je signale que j'ai dû, juste avant de faire l'analyse avec ZHPDiag,restaurer un point de restauration de la semaine dernière parce que le PC était devenu incontrôlable. Cordialement, Philippe

Bonjour à tous, Je viens une nouvelle fois faire appel à vos lumières pour m'aider à résoudre un problème d'infection par troyen: depuis quelques jours, ma femme se voyait régulièrement éjectée d'internet explorer sans raison apparente. Une analyse avec Hijackthis et malwarebyte ne m'a rien appris; par contre, spybot a révélé la présence de Trojans C-02 et de virtumonde (à moins que ce ne soit la même chose) Pourriez-vous m'aider à désinfecter ce PC (XP service-pack3 )? Un grand merci d'avance. Cordialement, Philippe

Oups, mon fils est reparti avec son PC, je ferai la manipulation dans deux ou trois jours: je te tiendrai au courant. A bientôt, Philippe

Voici le rapport de DleFix: Cliquez ici. J'ai ensuite désactivé la restauration, et en validant, j'ai eu le message d'erreur suivant: "Impossible de créer une tâche planifiée pour la raison suivante: Élément introuvable. (0x80070490)" , mais la désactivation s'est quand même faite. J'ai ensuite recréé un nouveau point de restauration, et en validant, j'ai eu le même message d'erreur: "Impossible de créer une tâche planifiée pour la raison suivante: Élément introuvable. (0x80070490)" Pour lire ensuite que le point de restauration avait été créé! Je ne sais pas si cela a de l'importance ou non... En ce qui concerne le problème de boot, un ami m'a conseillé de faire jouer la garantie d'Asus. Je te souhaite un excellent WE à toi aussi. Encore un grand merci, Philippe

Ce n'est pas grave, je veux quand même te dire un immense merci pour ton aide dans cette désinfection magistralement réussie. Comme j'expliquais à mon deuxième fils que c'est grâce à toi dans le forum de Zébulon que j'avais pu sauver le portable de son frère, il m'a fait la réflexion que l'on rencontre sur le net des personnes formidables et d'autres qui passent leur temps à nous pourrir la vie. L'ironie c'est que c'est finalement parfois grâce aux emm..deurs que l'on rencontre les gens sympa! Amitiés, Philippe

Oui, je confirme, les cd ont été gravés comme images bootables et non comme cd de données.

Bernard53, J'ai suivi la procédure de désinstallation du lecteur de CD, et il s'est produit une chose curieuse au redémarrage, à l'écran' s'est affiché le commentaire suivant: "Echec du chargement de Windows car le fichier du registre système est manquant ou endommagé" on conseillait de rebooter sur le disque de réparation pour réparer le système. J'ai alors effectué la réparation qui a été assez longue. L'Os est apparemment sur la partition C Les données sur la partition D Et le lecteur de DVD porte la lettre E Je pense me souvenir que lors de la réparation de la séquence de boot (rebuild) que tu m'avais prescrite, à un moment donné, le pc m'avait posé la question de savoir si je voulais que E soit inscrit dans la séquence de boot et j'avais répondu "oui". En ce qui concerne le boot avec un disque d'origine XP, oui, lors d'un essai antérieur, il avait booté dessus. Pour en avoir le coeur net, j'ai ré-essayé: d'abord, j'ai lancé le CD XP (d'origine) sur le lecteur (dans une session win7) et j'ai eu un avertissement me demandant si je voulais vraiment ouvrir ce programme identifié comme étant d'un éditeur inconnu!!! Lors d'un deuxième essai, le cd s'est lancé normalement. Puis, j'ai mis la séquence de boot sur cd et dvd (et sur rien d'autre) et le lecteur s'est activé et une session win7 s'est lancée!!! J'ai rebooté une nouvelle fois et le programme d'installation de xp s'est finalement lancé. J'ai essayé sur d'autres cd boottables (ubuntu 64 bits, par exemple), mais si le lecteur se lance dans un premier temps, il s'arrête ensuite et le cd ne s'ouvre pas! Bizarre tout ça, non? Pour le reste, le PC a l'air tout à fait ok

Voici le rapport de ZHPfix: Cliquez ici. Voici le rapport de Malwarebytes : Cliquez ici. Dans le rapport dz ZHPfix, il semblerait que tous les points ont pu être traités à l'exception de 2 Par contre, le rapport de Malwarebytes est complètement négatif: bravo! Pour le reste, je pense que le pc fonctionne normalement (mais c'est celui de mon fils, donc je ne le connais pas). Une chose cependant ne fonctionne pas encore: toujours pas moyen de booter sur un cd ou dvd (le bios étant correctement configuré); le lecteur de dvd ne semble pas tourner normalement non plus dans une session win7 : lorsqu'un cd est mis dans le lecteur et que l'on double-clic sur l'icône du lecteur, on obtient le message suivant: "E:\ application introuvable" Les virus auraient-ils corrompu le pilote de ce lecteur? Une dernière chose, TDssKiller avait trouvé un point que j'ai demandé de supprimer, mais suite à une fausse manoeuvre, j'ai perdu le rapport, sorry!

Voici le lien avec le rapport ZHPdiag: Cliquez ici. Je sens que les choses progressent, merci.

Nod32 a découvert et supprimé une variante de win32adware Bandoo; par contre, avira, l'antivirus résident, reparle de TR/TDss 38.19 qu'il avait soit-disant déjà éradiqué: doit-on passer à Combofix?

Bonne nouvelle, l'ordinateur a redémarré: comme il n'y avait pas moyen de booter sur le lecteur de CD, j'ai mis une version bootable de windows 7 sur un clef usb, et de cette clef, j'ai pu démarrer une réparation qui s'est avérée fructueuse: les manipulations que tu m'avais conseillées hier ont donc eu un résultat positif. Un tout grand merci, cela faisait 3 jours que je ramais. Il me reste maintenant à vérifier si le PC est encore infecté, et le nettoyer si nécessaire: que me conseilles-tu? Hijackthis? En attendant de tes nouvelles, je vais lancer un petit Nod32 en ligne pour faire un premier bilan!

Bonjour Bernard53 et merci de te pencher sur mon problème. J'ai effectué les manipulations prescrites (mais pas à partir du CD WinRe puisqu'il n'y a pas moyen de booter sur un CD ou un DVD, mais à partir de l'environnement winRE proposé par la partie de de Win7 encore active sur le portable). Les deux commandes ont été effectuées avec succès, mais sans résultat (je veux dire sans résoudre mon problème). J'ai donc fait la 3ème manipulation proposée dans le lien que tu m'as envoyé, à savoir: bcdedit /export C:\BCD_Backup c: cd boot attrib bcd -s -h -r ren c:\boot\bcd bcd.old bootrec /RebuildBcd à la fin de cette manipulation, il était indiqué (je cite de mémoire) qu'il y avait un windows dans la partition E (qui est je pense la parition de l'OS sur cet Asus) et on me demandait si je voulaisl'ajouter à la liste de boot: j'ai dit oui, mais par la suite, j'ai eu un message d'erreur me disant que windows n'avait pu se charger en raison d'un fichier manquant ou endommagé. On me demandait ensuite de redémarrer sur les CD d'installation, ce qui ne fonctionne pas malgré la priorité mise sur le lecteur de CD/DVD dans le Bios. Que dois-je faire maintenant?

Bonjour à tous, Bravo, tout d'abord, pour la qualité du site et pour l'esprit d'entraide et de coopération du forum. Je me permets de créer un nouveau sujet, parce que je n'ai trouvé aucune réponse définitive à mon problème sur internet ces 3 derniers jours. Mon fils ainé semble avoir été victime d'une infection virale sur internet, et depuis, plus moyen de faire démarrer Windows sans déboucher sur le "system recovery" qui ne parvient toutefois pas à résoudre le problème. Il n'y a par ailleurs pas moyen d'aller plus loin dans l'ouverture de Windows. Le portable: Asus K50IJ Windows 7 familial premium Antivirus: Antivir (version free) - Le systeme de restauration ne parvient pas à trouver de solution. - J'ai tenté plusieurs fois de restaurer un point de restauration antérieur (il n'y en a que 3 et ils sont récents) - à l'écran s'affiche que le point a été restauré, mais le problème persiste. - J'ai tenté de restaurer à partir des DVD de restauration gravés peu après l'achat du PC, mais pas moyen de booter dessus (le lecteur démarre puis s'arrête). - Pas moyen de booter sur aucun CD ou DVD (quoique j'ai essayé une fois sur un CD d'origine XP et là cela démarrait et proposait d'installer XP) (je précise que j'ai bien paramétré le Bios pour démarrer sur CD/DVD). - Seule possibilité de boot: sur clef USB: du coup, j'ai sauvegardé les données importantes avec un Ubuntu live USB, puis j'ai fait un scan avec l'antivirus live de Norton, de Dr Web et Antivir qui m'ont trouvé et détruit plusieurs virus dont: TR/TDss.38.19 Je suis un peu dans une impasse et je vous appelle à l'aide, parce que j'ai un peu l'impression de tourner en rond. Merci d'avance pour toute aide à ce sujet. Cordialement, Philippe