Erreur 80072EFE, mise a jour windows

[poluli]

Rapport USBFix :

############################## | UsbFix 7.048 | [suppression]

 

Utilisateur: Catherine (Administrateur) # CATHERINE-PC [Acer Aspire 1410]

Mis à jour le 11/06/2011 par TeamXscript

Lancé à 21:21:31 | 12/06/2011

Site Web: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Intel® Celeron® CPU 743 @ 1.30GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

 

Pare-feu Windows: Activé

RAM -> 1979 Mo

C:\ (%systemdrive%) -> Disque fixe # 73 Go (32 Go libre(s) - 44%) [Acer] # NTFS

D:\ -> Disque fixe # 64 Go (59 Go libre(s) - 91%) [Nouveau nom] # NTFS

E:\ -> Disque amovible # 2 Go (903 Mo libre(s) - 45%) [CLÚ CATH'] # FAT

 

################## | Éléments infectieux |

 

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3679504376-3201586977-1465808484-1001

Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3679504376-3201586977-1465808484-1001

Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3679504376-3201586977-1465808484-501

 

################## | Registre |

 

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

 

################## | Mountpoints2 |

 

 

################## | Listing |

 

[12/06/2011 - 21:22:23 | SHD ] C:\$RECYCLE.BIN

[13/01/2008 - 13:04:02 | D ] C:\book

[20/08/2009 - 07:57:18 | N | 8192] C:\BOOTSECT.BAK

[12/06/2011 - 15:35:01 | N | 22668] C:\ComboFix.txt

[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings

[12/06/2011 - 20:52:15 | ASH | 1556287488] C:\hiberfil.sys

[20/08/2009 - 07:04:33 | D ] C:\Intel

[20/08/2009 - 07:25:01 | RD ] C:\MSOCache

[25/02/2010 - 11:16:02 | D ] C:\OEM

[12/06/2011 - 20:52:19 | ASH | 2075049984] C:\pagefile.sys

[14/07/2009 - 05:20:08 | D ] C:\PerfLogs

[12/06/2011 - 17:05:18 | N | 512] C:\PhysicalDisk0_MBR.bin

[01/11/2010 - 15:43:13 | D ] C:\Program Files

[12/06/2011 - 19:56:26 | D ] C:\Program Files (x86)

[12/06/2011 - 19:56:29 | D ] C:\ProgramData

[25/02/2010 - 18:22:11 | D ] C:\Recovery

[20/08/2009 - 07:14:02 | N | 2040] C:\RHDSetup.log

[12/06/2011 - 19:49:04 | SHD ] C:\System Volume Information

[12/06/2011 - 14:59:32 | N | 65328] C:\TDSSKiller.2.5.4.0_12.06.2011_14.58.06_log.txt

[12/06/2011 - 16:29:18 | N | 127986] C:\TDSSKiller.2.5.4.0_12.06.2011_16.24.46_log.txt

[12/06/2011 - 18:40:22 | N | 65328] C:\TDSSKiller.2.5.4.0_12.06.2011_18.38.45_log.txt

[12/06/2011 - 18:48:10 | N | 65120] C:\TDSSKiller.2.5.4.0_12.06.2011_18.42.36_log.txt

[12/06/2011 - 21:22:23 | D ] C:\UsbFix

[12/06/2011 - 21:21:32 | A | 2727] C:\UsbFix.txt

[27/02/2010 - 15:09:11 | D ] C:\Users

[12/06/2011 - 19:49:12 | D ] C:\Windows

[12/06/2011 - 21:22:23 | D ] D:\$RECYCLE.BIN

[26/02/2010 - 10:20:26 | D ] D:\clé

[26/02/2010 - 10:20:27 | D ] D:\Mes images

[26/02/2010 - 10:19:46 | D ] D:\Moi

[10/08/2010 - 22:15:23 | N | 481] D:\Nouveau nom (D) - Raccourci.lnk

[26/02/2010 - 14:46:55 | SHD ] D:\System Volume Information

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

 

################## | Upload |

 

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CATHERINE-PC.zip

http://www.teamxscript.org/Upload.php

Merci de votre contribution.

 

################## | E.O.F |

 

A+

Poluli

[Apollo]

Lance USBFIX et clique sur Désinstaller

 

Réactiver l'UAC sous Vista/7.

 

Essaie de mettre MBAM à jour et lance une analyse rapide pour voir?

 

@++

[poluli]

Toujours le même message d'erreur en ce qui concerne la MAJ de MBAM.

Voilà le rapport pour l'analyse rapide :

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6705

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

12/06/2011 21:55:17

mbam-log-2011-06-12 (21-55-17).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 169725

Temps écoulé: 2 minute(s), 54 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

a+

[Apollo]

Mmmh,

 

Refais un scan ZHPDiag stp et héberge-le.

 

@++

[poluli]

Le rapport est ici : Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

M2 - MFEP: prefs.js [Catherine - knmhfhzc.default\{C9B68337-E93A-44EA-94DC-CB300EC06444}] [] IMinent Toolbar v3.26.0 (.IMinent.)    
[HKCU\Software\Iminent]      
[HKLM\Software\Iminent]    
O43 - CFD: 05/12/2010 - 23:47:42 - [1906168] ----D- C:\Program Files (x86)\Iminent    
O4 - HKLM\..\Run: [PLD_FrameworkRun] c:\windows\system32\oem\setEvent.exe (.not file.)    
O4 - Global Startup: C:\Users\Catherine\Desktop\iTunes.lnk . (...)  -- C:\WINDOWS\Installer\{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}\iTunesIco.exe (.not file.)    
O43 - CFD: 19/03/2010 - 23:11:02 - [1656] ----D- C:\ProgramData\Partner    
O64 - Services: CurCS - (.not file.) - 34389374 (34389374)  .(...) - LEGACY_34389374    
O64 - Services: CurCS - (.not file.) - 58847533 (58847533)  .(...) - LEGACY_58847533    
O64 - Services: CurCS - (.not file.) - 62908138 (62908138)  .(...) - LEGACY_62908138   
O64 - Services: CurCS - (.not file.) - 81111861 (81111861)  .(...) - LEGACY_81111861    
emptytemp   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Envoie une copie du rapport RKreport[1].txt.

Si les raccourcis ont disparu, relance l'outil en mode 6.

Envoie une copie du rapport RKreport[2].txt.

 

Fais également les options 3, 4 et 5 et poste tous les rapports.

 

Autres options:

 

- 3. Réinitialiser fichier Hosts.

- 4. Supprimer les Proxys.

- 5. Réparation DNS.

- 6. Réapparition raccourcis

- 0. Quitter.

 

[poluli]

Bonsoir,

 

Rapport ZHPFixReport.txt :

 

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011

Fichier d'export Registre :

Run by Catherine at 12/06/2011 22:53:45

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME HKCU\Software\Iminent

ABSENT HKLM\Software\Iminent

SUPPRIME Service Legacy: LEGACY_34389374

SUPPRIME Service Legacy: LEGACY_58847533

SUPPRIME Service Legacy: LEGACY_62908138

SUPPRIME Service Legacy: LEGACY_81111861

 

========== Valeur(s) du Registre ==========

SUPPRIME RunValue: PLD_FrameworkRun

 

========== Dossier(s) ==========

SUPPRIME C:\Users\Catherine\AppData\Roaming\Mozilla\Firefox\Profiles\knmhfhzc.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444}

SUPPRIME C:\Program Files (x86)\Iminent

SUPPRIME C:\ProgramData\Partner

SUPPRIME Temporaires Windows: : 12

 

========== Fichier(s) ==========

ABSENT File: c:\windows\system32\oem\setevent.exe

SUPPRIME c:\users\catherine\desktop\itunes.lnk

ABSENT File: c:\windows\installer\{a6fdf86a-f541-4e7b-aea0-8849a2a700d5}\itunesico.exe

SUPPRIME Temporaires Windows: : 13

 

 

========== Récapitulatif ==========

6 : Clé(s) du Registre

1 : Valeur(s) du Registre

4 : Dossier(s)

4 : Fichier(s)

 

 

End of the scan

 

 

rapport RKreport[1].txt :

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Catherine [Droits d'admin]

Mode: Suppression -- Date : 12/06/2011 23:05:04

 

Processus malicieux: 1

[sUSP PATH] PLFSetI.exe -- c:\windows\plfseti.exe -> KILLED

 

Entrees de registre: 3

[sUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> DELETED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

Fichier HOSTS:

127.0.0.1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

rapport RKreport[2].txt (host)

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Catherine [Droits d'admin]

Mode: HOSTS RAZ -- Date : 12/06/2011 23:06:24

 

Processus malicieux: 0

 

Fichier HOSTS:

127.0.0.1 localhost

 

 

Nouveau fichier HOSTS:

127.0.0.1 localhost

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

 

rapport RKreport[3].txt (proxy)

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Catherine [Droits d'admin]

Mode: Proxy RAZ -- Date : 12/06/2011 23:06:55

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

rapport RKreport[4].txt (dns)

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Catherine [Droits d'admin]

Mode: DNS RAZ -- Date : 12/06/2011 23:07:26

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

Voila!

A bientôt

[Apollo]

Bien,

 

Essaie de mettre MBAM à jour.

 

S'il fait la mise à jour relance une analyse.

 

Si ça ne va toujours pas, désinstalle puis réinstalle-le.

 

Fais d'abord une analyse rapide.

Je suis quand-même étonné que TDSSKiller ne voit rien, car l'erreur que tu as est un signe de ce rootkit.

 

S'il le fallait, on utiliserait une autre arme que Combofix.

 

@++

[poluli]

Salut,

 

La mise à jour de MBAM ne fonctionne toujours pas, même après désinstallation/réinstallation. Cela ne m'étonne pas car comme expliqué dans mon message originel, même si mon ordinateur est connecté à internet, je n'arrive pas à accéder à un quelconque site internet (que ce soit avec IE, Chrome ou Firefox). Depuis le début, je suis sur un autre ordi que celui infecté pour avoir accès au forum et autres liens que tu me donnes.

 

En tous cas, voilà le dernier rapport de l analyse rapide avec MBAM :

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6705

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

12/06/2011 23:53:48

mbam-log-2011-06-12 (23-53-48).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 172488

Temps écoulé: 3 minute(s), 26 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

A+

[Apollo]

Bonjour,

 

Il y a peut-être une autre raison mais on va vérifier la présence d'infections jusqu'au bout.

 

Apollo Et Compagnie Kaspersky Virus Removal Tool en français

 

Cela peut durer longtemps selon le nombre de fichiers à analyser.

N'oublie pas de prendre le rapport à la fin.

 

@++