[Résolu] XP se fige souvent...

pierrotlalune · le 17 avril 2013

Bonjour,

Windows XP se fige de manière récurente à intervalle variable avec perte du pointeur. Plus rien ne fonctionne alors et l'ordinateur doit être relancer avec le bouton de la tour. J'ai effectué les scans avira et malwarebytes y compris en mode sans echec mais sans rien trouver ! memtest en live ne trouve aucun défaut et chkdsk avec les 5 options a bien été effectué. Bref, je ne comprends pas se qui se passe, je fait donc appel aux experts de Zébulon en leur soumettant le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:51:53, on 17/04/2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir Desktop\sched.exe
D:\Program Files\Avira\AntiVir Desktop\avguard.exe
D:\Program Files\Java\jre7\bin\jqs.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
D:\Program Files\Google\Update\1.3.21.135\GoogleCrashHandler.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\AGRSMMSG.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
D:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Avira\AntiVir Desktop\avshadow.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
D:\Documents and Settings\amis\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.fr - Actualités, magazines people & féminin, Outlook et Hotmail[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.fr - Actualités, magazines people & féminin, Outlook et Hotmail[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.fr - Actualités, magazines people & féminin, Outlook et Hotmail[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [unlockerAssistant] "D:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\WINDOWS\system32\Macromed\Flash\FlashUtil32_11_6_602_180_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url=http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625][url=http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625][url=http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625][url=http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625][url=http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625]http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1355934585625[/url][/url][/url][/url][/url]
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - [url=http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab][url=http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab][url=http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab][url=http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab][url=http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab]http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab[/url][/url][/url][/url][/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - D:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - D:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - D:\WINDOWS\system32\services.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - D:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - D:\Program Files\Java\jre7\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - D:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - D:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - D:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - D:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7853 bytes

Dans l'attente de vos conseils, bonne soirée et merci.

pll

Modifié le 23 mai 2013 par pierrotlalune

pear · le 18 avril 2013

Bonjour,

Vérifiez la température, et dépoussiérez.

Démarrer->Exécuter

regsvr32 -u shmedia.dll

valider

Redémarrez

ensuite

Démarrer->ExécuterCopier /coller et validez succesivement

regsvr32 /u shmedia.dll /s

regsvr32 /i browseui.dll /s

regsvr32 /i shell32.dll /s

regsvr32 /u /i shdocvw.dll /s

Si rien ne change, on vérifie qu'il n'y ait pas d'intrus.

Hijackthis ne vaut plus guère!

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il devrait y avoir 3 icônes

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le bouton

en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

pierrotlalune · le 18 avril 2013

Vérifiez la température, et dépoussiérez.

Démarrer->Exécuter

regsvr32 -u shmedia.dll

valider

Redémarrez

ensuite

Démarrer->ExécuterCopier /coller et validez succesivement

regsvr32 /u shmedia.dll /s

regsvr32 /i browseui.dll /s

regsvr32 /i shell32.dll /s

regsvr32 /u /i shdocvw.dll /s

Si rien ne change, on vérifie qu'il n'y ait pas d'intrus.

Bonjour pear et merci pour ta réponse très complète.

Avant le rapport hijackthis ( j'ai bien noté que c'est obsolète ), j'avais exécuté Avira, Malwarebytes et la défragmentation le tout en mode sans échec. Depuis ça marche, mais pour combien de temps. Alors j'ai exécuté tes 5 commandes en suivant tes consignes. La seule température indiquée sur le bios est de 43°C. Le dépoussiérage est prévu.

Parfois des périodes de 8 à 10 jours sans dysfonctionnement ont été remarquées. Je souhaite laisser ce post ouvert quelques temps, si le problème se reproduit je te préviendrais après avoir suivi le reste de tes conseils.

Bonne journée à toi.

pll

pierrotlalune · le 29 avril 2013

Bonjour pear,

nous n'avons remarqué aucun problème. Merci à toi :super: .

Amicalement.

pll

pierrotlalune · le 22 mai 2013

Bonsoir pear,

Les ennuis ont recommencés. L'ordinateur se fige à nouveau lors du fonctionnement de l'économiseur.

J'ai suivi tes consignes pour ZHPDiag mais se dernier indique toujours "traitement en cours" aprés environ 10h de scan ! Aussi le serveur de Zébulon était inaccessible...

Alors voici le copier-coller du fichier texte […]

Avant faire cela, avira, mtr et malwarebytes n'avaient rien trouvé. CrapCleaner a été exécuté en nettoyage et pour le registre.

Merci pour ton aide, j'attends tes consignes.

Amicalement.

pll

Modifié le 23 mai 2013 par Dylav
Suppression du "collé" (inexploitable) ;o)

pierrotlalune · le 22 mai 2013

Rapport de ZHPDiag v2013.5.21.143 par Nicolas Coolman, Update du 21/05/2013

Run by catherine at 22/05/2013 12:46:23

WebSite: Nicolas Coolman | Wix.com

State :

WhiteList : Enable

High Elevated Privileges : OK

UAC : Not Found

---\\ Web Browser

MSIE: Internet Explorer v8.0.6001.18702

MFIE: Mozilla Firefox 20.0.1 (Defaut)

GCIE: Google Chrome v26.0.1410.64

---\\ Windows Product Information

~ Langage: Français

Windows XP Home Edition Service Pack 3 (Build 2600)

Windows Automatic Updates : OK

Windows Genuine Advantage : OK

---\\ System Protection

Avira Free Antivirus v13.0.0.3640

Malwarebytes Anti-Malware version 1.75.0.1300

---\\ System Optimizer

CCleaner v4.01 =>Piriform Ltd

---\\ Peer To Peer (P2P)

---\\ Software Update

Adobe Flash Player 11 Plugin

Adobe Reader XI

Java 7 Update 21

---\\ System Information

~ Processor: x86 Family 15 Model 12 Stepping 0, AuthenticAMD

~ Operating System: 32 Bits

Boot mode: Normal (Normal boot)

Total RAM: 511 MB (21% free)

System Restore: Activé (Enable)

System drive D: has 160 GB (89%) free of 179 GB

---\\ Logged in mode

~ Computer Name: MENDOZA-C7E87CD

~ User Name: catherine

~ All Users Names: SUPPORT_388945a0, HelpAssistant, catherine, amis, Administrateur,

~ Unselected Option: O45,O61

Logged in as Administrator

---\\ Environnement Variables

~ System Unit : D:\

~ %AppData% : D:\Documents and Settings\catherine\Application Data\

~ %Desktop% : D:\Documents and Settings\catherine\Bureau\

~ %Favorites% : D:\Documents and Settings\catherine\Favoris\

~ %LocalAppData% : D:\Documents and Settings\catherine\Local Settings\Application Data\

~ %StartMenu% : D:\Documents and Settings\catherine\Menu Démarrer\

~ %Windir% : D:\WINDOWS\

~ %System% : D:\WINDOWS\system32\

---\\ DOS/Devices

C:\ Hard drive, Flash drive, Thumb drive (Free 3 Go of 7 Go)

D:\ Hard drive, Flash drive, Thumb drive (Free 160 Go of 179 Go)

E:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

F:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

G:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

H:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

I:\ CD-ROM drive (Not Inserted)

---\\ Security Center & Tools Informations

~ Security Center: 26 Legitimates Filtered in 00mn 00s

---\\ Recherche particulière de fichiers génériques

[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation - Explorateur Windows.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\Explorer.exe [1037824]

[MD5.3405104CE3F9B8CDCF5F5A23EC26E681] - (.Microsoft Corporation - Internet Extensions for Win32.) (.16/04/2013 - 23:16:49.) -- D:\WINDOWS\system32\wininet.dll [920064]

[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation - Application d'ouverture de session Windows NT.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Winlogon.exe [512000]

[MD5.1E44BC1E83D8FD2305F8D452DB109CF9] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.17/08/2011 - 14:49:54.) -- D:\WINDOWS\system32\Drivers\AFD.sys [138496]

[MD5.9F3A2F5AA6875C72BF062C712CFA2674] - (.Microsoft Corporation - IDE/ATAPI Port Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\atapi.sys [96512]

[MD5.C885B02847F5D2FD45A24E219ED93B32] - (.Microsoft Corporation - CD-ROM File System Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Cdfs.sys [63744]

[MD5.1F4260CC5B42272D71F79E570A27A4FE] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Cdrom.sys [62976]

[MD5.31F923EB2170FC172C81ABDA0045D18C] - (.Microsoft Corporation - Pilote de cryptographie FIPS.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Fips.sys [44672]

[MD5.573C7D0A32852B48F3058CFD8026F511] - (.Windows ® Server 2003 DDK provider - High Definition Audio Bus Driver v1.0a.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\HDAudBus.sys [144384]

[MD5.A09BDC4ED10E3B2E0EC27BB94AF32516] - (.Microsoft Corporation - Pilote de port i8042.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\i8042prt.sys [54144]

[MD5.083A052659F5310DD8B6A6CB05EDCF8E] - (.Microsoft Corporation - IMAPI Kernel Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Imapi.sys [42112]

[MD5.CC748EA12C6EFFDE940EE98098BF96BB] - (.Microsoft Corporation - IP Network Address Translator.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\IpNat.sys [152832]

[MD5.23C74D75E36E7158768DD63D92789A91] - (.Microsoft Corporation - IPSec Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\IPSec.sys [75264]

[MD5.7D304A5EB4344EBEEAB53A2FE3FFB9F0] - (.Microsoft Corporation - Windows NT SMB Minirdr.) (.15/07/2011 - 14:29:31.) -- D:\WINDOWS\system32\Drivers\MRxSmb.sys [456320]

[MD5.74B2B2F5BEA5E9A3DC021D685551BD3D] - (.Microsoft Corporation - MBT Transport driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\netBT.sys [162816]

[MD5.78A08DD6A8D65E697C18E1DB01C5CDCA] - (.Microsoft Corporation - NT File System Driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\ntfs.sys [574976]

[MD5.8FD0BDBEA875D06CCF6C945CA9ABAF75] - (.Microsoft Corporation - Pilote de port parallèle.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Parport.sys [80384]

[MD5.11B4A627BC9614B885C4969BFA5FF8A6] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\Rasl2tp.sys [51328]

[MD5.15CABD0F7C00C47C70124907916AF3F1] - (.Microsoft Corporation - Microsoft RDP Device redirector.) (.13/04/2008 - 11:32:52.) -- D:\WINDOWS\system32\Drivers\rdpdr.sys [196224]

[MD5.D8EB2A7904DB6C916EB5361878DDCBAE] - (.Microsoft Corporation - Pilote de filtre audio Livre rouge.) (.13/04/2008 - 19:57:36.) -- D:\WINDOWS\system32\Drivers\redbook.sys [58752]

[MD5.46DE1126684369BACE4849E4FC8C43CA] - (.Microsoft Corporation - Pilote de cliché instantané du volume.) (.14/04/2008 - 13:00:00.) -- D:\WINDOWS\system32\Drivers\volsnap.sys [53376]

~ Generic Processes: Scanned in 00mn 04s

---\\ Etat des fichiers cachés (Caché/Total)

~ Mes images (My Pictures) : 2/689

~ Mes musiques (My Musics) : 1/9

~ Mes Videos (My Videos) : 0/0

~ Mes Favoris (My Favorites) : 1/25

~ Mes Documents (My Documents) : 1/733

~ Mon Bureau (My Desktop) : 0/5

~ Menu demarrer (Programs) : 1/33

~ Hidden Files: Scanned in 00mn 00s

---\\ Processus lancés

[MD5.E41F55D0B71734BB68FF26963EB250E4] - (.Avira Operations GmbH & Co. KG - Avira Scheduler.) -- D:\Program Files\Avira\AntiVir Desktop\sched.exe [86752] [PID.256]

[MD5.880AE0BEDE234F27AC252049373B8CB9] - (.Avira Operations GmbH & Co. KG - Avira On-Access Service.) -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816] [PID.876]

[MD5.5739F2821D49975CEDE6BF0153D0CF01] - (.Oracle Corporation - Java Quick Starter Service.) -- D:\Program Files\Java\jre7\bin\jqs.exe [181664] [PID.1024]

[MD5.65085456FD9A74D7F1A999520C299ECB] - (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- D:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376] [PID.1040]

[MD5.76B35CB0F3A4E69D6DFF27F542B9F856] - (.Google Inc. - Google Crash Handler.) -- D:\Program Files\Google\Update\1.3.21.145\GoogleCrashHandler.exe [216968] [PID.1136]

[MD5.E7BE65BF79906AEBC698E077D53F6A1C] - (.Agere Systems - SoftModem Messaging Applet.) -- D:\WINDOWS\AGRSMMSG.exe [88363] [PID.1220]

[MD5.80FD4D46B0E9B620CF757A9A5C789329] - (.Realtek Semiconductor Corp. - Realtek Sound Manager.) -- D:\WINDOWS\SOUNDMAN.exe [577536] [PID.1888]

[MD5.FD579C25D253A47DF82A76B7EE96ADB5] - (.Avira Operations GmbH & Co. KG - Avira System Tray Tool.) -- D:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345312] [PID.592]

[MD5.255E405D801CF01247390F38F92D8042] - (...) -- D:\Program Files\Unlocker\UnlockerAssistant.exe [17408] [PID.640]

[MD5.D63797E8E7781EE1500A810CB6194FA6] - (.Oracle Corporation - Java Update Scheduler.) -- D:\Program Files\Fichiers communs\Java\Java Update\jusched.exe [253816] [PID.720]

[MD5.09CECDB996293EB64C0AAF8580BD38DB] - (.www.gmailnotifier.com - Gmail Notifier.) -- D:\Program Files\Gmail Notifier\Gmail Notifier.exe [2155008] [PID.884]

[MD5.6B3DD4B1D5D4C239AD84A460E676C6D7] - (.Avira Operations GmbH & Co. KG - Avira Shadow Copy Service.) -- D:\Program Files\Avira\AntiVir Desktop\avshadow.exe [79584] [PID.1080]

[MD5.6F5386A655598F71BAAB2D6B63A69D6A] - (.Mozilla Corporation - Firefox.) -- D:\Program Files\Mozilla Firefox\firefox.exe [920472] [PID.2068]

[MD5.97E17A26AAFE37817327EF8D5C003B6A] - (.Nicolas Coolman - ZHPDiag.) -- D:\Program Files\ZHPDiag\ZHPDiag.exe [7389696] [PID.3044]

[MD5.5E9A6658A2A69AE7EB195113B7A2E7A9] - (.Microsoft Corporation - Application Layer Gateway Service.) -- D:\WINDOWS\System32\alg.exe [44544] [PID.3096]

~ Processes Running: Scanned in 00mn 04s

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

D:\Documents and Settings\catherine\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

G0 - GCSP: Preference [user Data\Default][HomePage] Delta Search =>Toolbar.DeltaSearch

G0 - GCSP: Preference [user Data\Default] Delta Search =>Toolbar.DeltaSearch

~ Google Browser: 2 Legitimates Filtered in 00mn 00s

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\prefs.js

D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\user.js

M3 - MFPP: Plugins - [catherine] -- D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\searchplugins\delta.xml

M3 - MFPP: Plugins - [catherine] -- D:\Program Files\Mozilla FireFox\searchplugins\babylon.xml =>Toolbar.Babylon

~ Firefox Browser: 20 Legitimates Filtered in 00mn 01s

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Delta Search =>Toolbar.DeltaSearch

~ IE Browser: 10 Legitimates Filtered in 00mn 00s

---\\ Internet Explorer, Proxy Management (R5)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll

~ Proxy management: Scanned in 00mn 00s

---\\ Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs

F2 - REG:system.ini: USERINIT=D:\WINDOWS\system32\userinit.exe,

F2 - REG:system.ini: Shell=D:\WINDOWS\explorer.exe

F2 - REG:system.ini: VMApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"

~ Keys: Scanned in 00mn 00s

---\\ Redirection du fichier Hosts (O1)

~ Le fichier hosts est sain (The hosts file is clean).

~ Hosts File: Scanned in 00mn 00s

~ Nombre de lignes (Lines number): 20

---\\ Applications démarrées par registre & par dossier (O4)

O4 - HKLM\..\Run: [AGRSMMSG] . (.Agere Systems - SoftModem Messaging Applet.) -- D:\WINDOWS\AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] . (.Realtek Semiconductor Corp. - Realtek Sound Manager.) -- D:\WINDOWS\SOUNDMAN.exe

O4 - HKLM\..\Run: [avgnt] . (.Avira Operations GmbH & Co. KG - Avira System Tray Tool.) -- D:\Program Files\Avira\AntiVir Desktop\avgnt.exe

O4 - HKLM\..\Run: [unlockerAssistant] . (...) -- D:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] . (.Oracle Corporation - Java Update Scheduler.) -- D:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gmail Notifier.exe] . (.www.gmailnotifier.com - Gmail Notifier.) -- D:\Program Files\Gmail Notifier\Gmail Notifier.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\CTFMON.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\CTFMON.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\CTFMON.exe

O4 - HKUS\S-1-5-21-448539723-1336601894-1801674531-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-448539723-1336601894-1801674531-1004\..\Run: [Gmail Notifier.exe] . (.www.gmailnotifier.com - Gmail Notifier.) -- D:\Program Files\Gmail Notifier\Gmail Notifier.exe

~ Application: Scanned in 00mn 00s

---\\ Autres liens utilisateurs (O4)

O4 - GS\Programs: Adobe Reader XI.lnk . (...) -- D:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-AB0000000001}\SC_Reader.ico

O4 - GS\Programs: Lanceur de tâches Microsoft Works.lnk . (.Microsoft® Corporation - Microsoft® Works.) -- D:\Program Files\Microsoft Works\MSWorks.exe

O4 - GS\Programs: Microsoft Office PowerPoint Viewer 2003.lnk . (.Microsoft Corporation - Microsoft Office PowerPoint Viewer.) -- D:\Program Files\Microsoft Office\PowerPoint Viewer\PPTVIEW.exe

O4 - GS\Programs: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- D:\Program Files\Mozilla Firefox\firefox.exe

O4 - GS\Programs: Windows Messenger.lnk . (.Microsoft Corporation - Windows Messenger.) -- D:\Program Files\Messenger\msmsgs.exe

O4 - GS\Programs: Windows Movie Maker.lnk . (.Microsoft Corporation - Windows Movie Maker.) -- D:\Program Files\Movie Maker\moviemk.exe

O4 - GS\Programs: Assistance à distance.lnk . (.Microsoft Corporation - Assistance à distance Microsoft.) -- D:\WINDOWS\system32\rcimlby.exe

O4 - GS\Programs: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- D:\Program Files\Internet Explorer\iexplore.exe

O4 - GS\Programs: Lecteur Windows Media.lnk . (.Microsoft Corporation - Lecteur Windows Media.) -- D:\Program Files\Windows Media Player\wmplayer.exe

O4 - GS\Programs: Outlook Express.lnk . (.Microsoft Corporation - Outlook Express.) -- D:\Program Files\Outlook Express\msimn.exe

~ Global Startup: Scanned in 00mn 02s

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)

O9 - Extra button: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} . (.Microsoft Corporation - Windows Live Writer Blog This Extension.) -- D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (...) -- D:\Program Files\Microsoft Office\Office12\REFBARH.ICO

O9 - Extra button: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -- Clé orpheline

O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- D:\Program Files\Messenger\msmsgs.exe

~ IE Extra Buttons: Scanned in 00mn 00s

---\\ Objets ActiveX (Downloaded Program Files)(O16)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} ((no name)) - http://window s update.micro s oft.com/window s update/v6/V5Control s /en/x86/client/wuweb_s ite.cab?1323684574250

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} ((no name)) - http://www.update.micro s oft.com/micro s oftupdate/v6/V5Control s /en/x86/client/muweb_s ite.cab?1355934585625

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ((no name)) - http://fichier s .tou s le s driver s .com/maconfig/MaConfig_5_2_1_0.cab

~ Objets ActiveX: Scanned in 00mn 00s

---\\ Modification Domaine/Adresses DNS (O17)

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BDAF1BE-6268-4617-995F-FF9A7C7D0BE6}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1BDAF1BE-6268-4617-995F-FF9A7C7D0BE6}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CS3\Services\Tcpip\..\{1BDAF1BE-6268-4617-995F-FF9A7C7D0BE6}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

~ Domain: Scanned in 00mn 00s

---\\ Protocole additionnel (O18)

O18 - Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} . (.Microsoft Corporation - Windows Live Mail.) -- D:\Program Files\Windows Live\Mail\mailcomm.dll

O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- D:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.dll

~ Protocole Additionnel: Scanned in 00mn 00s

---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)

O20 - Winlogon Notify: AtiExtEvent . (.ATI Technologies Inc. - ATI External Event Utility DLL Module.) -- D:\WINDOWS\system32\Ati2evxx.dll

O20 - Winlogon Notify: crypt32chain . (.Microsoft Corporation - Crypto API32.) -- D:\WINDOWS\system32\crypt32.dll

O20 - Winlogon Notify: cryptnet . (.Microsoft Corporation - Crypto Network Related API.) -- D:\WINDOWS\system32\cryptnet.dll

O20 - Winlogon Notify: cscdll . (.Microsoft Corporation - Agent réseau hors connexion.) -- D:\WINDOWS\system32\cscdll.dll

O20 - Winlogon Notify: dimsntfy . (.Microsoft Corporation - DIMS Notification Handler.) -- D:\WINDOWS\system32\dimsntfy.dll

O20 - Winlogon Notify: ScCertProp . (.Microsoft Corporation - DLL commune de réception des notifications.) -- D:\WINDOWS\system32\wlnotify.dll

O20 - Winlogon Notify: Schedule . (.Microsoft Corporation - DLL commune de réception des notifications.) -- D:\WINDOWS\system32\wlnotify.dll

O20 - Winlogon Notify: sclgntfy . (.Microsoft Corporation - DLL secondaire de notification de service d.) -- D:\WINDOWS\system32\sclgntfy.dll

O20 - Winlogon Notify: SensLogn . (.Microsoft Corporation - DLL commune de réception des notifications.) -- D:\WINDOWS\system32\WlNotify.dll

O20 - Winlogon Notify: termsrv . (.Microsoft Corporation - DLL commune de réception des notifications.) -- D:\WINDOWS\system32\wlnotify.dll

O20 - Winlogon Notify: wlballoon . (.Microsoft Corporation - DLL commune de réception des notifications.) -- D:\WINDOWS\system32\wlnotify.dll

~ Winlogon: Scanned in 00mn 00s

---\\ Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: (MBAMService) . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Skype Updater (SkypeUpdate) . (.Skype Technologies - Skype Updater Service.) - D:\Program Files\Skype\Updater\Updater.exe

~ Services: 7 Legitimates Filtered in 00mn 05s

---\\ Enumération Active Desktop & MHTML Editor (O24)

O24 - Desktop General: BackupWallPaper - .(...) - D:\Documents and Settings\catherine\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

O24 - Desktop General: WallPaper - .(...) - D:\Documents and Settings\catherine\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

~ Desktop Component: 4 Legitimates Filtered in 00mn 00s

---\\ HKCU & HKLM Software Keys

[HKCU\Software\BabylonToolbar] =>Toolbar.Babylon

[HKCU\Software\DataMngr] =>PUP.Datamngr

[HKCU\Software\InstallCore] =>PUP.InstallCore

[HKLM\Software\Babylon] =>Toolbar.Babylon

[HKLM\Software\DataMngr] =>PUP.Datamngr

~ Key Software: 103 Legitimates Filtered in 00mn 00s

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 19/03/2013 - 21:24:14 - [0,009] ----D D:\Documents and Settings\catherine\Application Data\Babylon =>Toolbar.Babylon

O43 - CFD: 19/03/2013 - 21:12:20 - [0,068] ----D D:\Documents and Settings\catherine\Application Data\GmailNotifierPro

O43 - CFD: 19/03/2013 - 21:05:11 - [0,003] ----D D:\Documents and Settings\catherine\Local Settings\Application Data\GmailNotifierPro

~ Program Folder: 106 Legitimates Filtered in 00mn 24s

---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)

O44 - LFC:[MD5.8A171173729B43E537B7E334D7B1750D] - 22/05/2013 - 11:11:05 ---A- . (...) -- D:\WINDOWS\wiadebug.log [159]

O44 - LFC:[MD5.98B1858D2253CB1FC0B09D9B76A92FF3] - 22/05/2013 - 11:11:04 ---A- . (...) -- D:\WINDOWS\wiaservc.log [50]

~ Files: 16 Legitimates Filtered in 02mn 20s

---\\ Opérations et fonctions au démarrage de Windows Explorer (O46)

O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

~ ShellExecuteHooks: Scanned in 00mn 00s

---\\ Image File Execution Options (IFEO) (O50)

O50 - IFEO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d

~ IFEO: Scanned in 00mn 00s

---\\ Liste des Drivers Système (O58)

O58 - SDL:[MD5.593AEFC67283D409F34CC1245D00A509] - 29/06/2004 - 09:07:18 ---A- . (.Agere Systems - SoftModem Device Driver.) -- D:\WINDOWS\system32\Drivers\AGRSM.sys [1268204]

O58 - SDL:[MD5.6D3ADA4CE95CECA7BCE527A08C4C474E] - 14/04/2008 - 13:00:00 ---A- . (...) -- D:\WINDOWS\system32\ansi.sys [9037]

~ Drivers: Scanned in 00mn 00s

---\\ Liste des outils de nettoyage (O63)

O63 - Logiciel: ZHPDiag 2013 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1

~ ADS: Scanned in 00mn 00s

---\\ Start Menu Internet (O68)

O68 - StartMenuInternet: <chrome.exe> <>[HKLM\..\Shell\open\Command] (.Google Inc. - Google Chrome.) -- D:\Program Files\Google\Chrome\Application\chrome.exe

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (.Mozilla Corporation - Firefox.) -- D:\Program Files\Mozilla Firefox\firefox.exe

O68 - StartMenuInternet: <Google Chrome> <Google Chrome>[HKLM\..\Shell\open\Command] (.Google Inc. - Google Chrome.) -- D:\Program Files\Google\Chrome\Application\chrome.exe

O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- D:\Program Files\Internet Explorer\iexplore.exe

~ Keys: Scanned in 00mn 00s

---\\ Search Browser Infection (O69)

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("avg.install.userHPSettings", "http://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123"); =>Toolbar.DeltaSearch

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("avg.install.userSPSettings", "Delta Search");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.admin", false);

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.aflt", "babsst");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.autoRvrt", "false");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.dfltLng", "en");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.excTlbr", false);

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.id", "425b9d7e0000000000000011d8d65123");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.instlDay", "15783");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.instlRef", "sst");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.newTab", false);

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.prdct", "delta");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.prtnrId", "delta");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.rvrt", "false");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.smplGrp", "none");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.tlbrId", "base");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.tlbrSrchUrl", "");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.vrsn", "1.8.10.0");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.vrsnTs", "1.8.10.020:24:56");

O69 - SBI: prefs.js [catherine - qtyj1arv.default] user_pref("extensions.delta.vrsni", "1.8.10.0");

O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - Bing

O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Delta Search) - Delta Search =>Toolbar.DeltaSearch

O69 - SBI: SearchScopes [HKCU] {853D2BA8-26D2-4028-9D4A-AC6729F235A8} [DefaultScope] - (Google) - Google

O69 - SBI: SearchScopes [HKCU] {9D5BD211-422C-4164-9298-BB4186A30F31} - (Bing) - Bing

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - () - Bing

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {853D2BA8-26D2-4028-9D4A-AC6729F235A8} [DefaultScope] - (Google) - Google

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - () - Bing

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {853D2BA8-26D2-4028-9D4A-AC6729F235A8} [DefaultScope] - (Google) - Google

~ Keys: Scanned in 00mn 00s

---\\ Recherche particuliere à la racine de certains dossiers (O84)

[MD5.DE981D6ED0F44C66E7C70D0F70823186] [sPRF][18/09/2012] (...) -- D:\Documents and Settings\catherine\Application Data\wklnhst.dat [304]

~ Files: Scanned in 00mn 00s

---\\ Scan Additionnel (O88)

Database Version : v2.12222 - (21/05/2013)

Clés trouvées (Keys found) : 7

Valeurs trouvées (Values found) : 0

Dossiers trouvés (Folders found) : 1

Fichiers trouvés (Files found) : 0

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}] =>Toolbar.Babylon

[HKCU\Software\BabylonToolbar] =>Toolbar.Babylon

[HKCU\Software\DataMngr] =>Adware.Bandoo

[HKLM\Software\DataMngr] =>Adware.Bandoo

[HKLM\Software\Classes\Prod.cap] =>Toolbar.Babylon

[HKCU\Software\InstallCore] =>Adware.InstallCore

[HKLM\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}] =>Toolbar.DeltaSearch

D:\Documents and Settings\catherine\Application Data\Babylon =>Toolbar.Babylon

~ Additionnel Scan: 172774 Items scanned in 00mn 25s

---\\ Random Export Key (O91)

[HKCU\Software\5d28d8bbc38ec17\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"

[HKCU\Software\5d28d8bbc38ec17\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80]:version="2.6.1125.80"

[HKCU\Software\5d28d8bbc38ec17] =>Toolbar.Babylon^

~ Export Key Software: Scanned in 00mn 00s

---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)

SS - | Demand 21/05/2013 256904 | (AdobeFlashPlayerUpdateSvc) . (.Adobe Systems Incorporated.) - D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

SR - | Auto 29/03/2013 86752 | (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG.) - D:\Program Files\Avira\AntiVir Desktop\sched.exe

SR - | Auto 29/03/2013 110816 | (AntiVirService) . (.Avira Operations GmbH & Co. KG.) - D:\Program Files\Avira\AntiVir Desktop\avguard.exe

SS - | Demand 14/04/2008 225280 | (dmadmin) . (.Microsoft Corp., Veritas Software.) - D:\WINDOWS\system32\dmadmin.exe

SS - | Auto 12/12/2011 136176 | (gupdate) . (.Google Inc..) - D:\Program Files\Google\Update\GoogleUpdate.exe

SS - | Demand 12/12/2011 136176 | (gupdatem) . (.Google Inc..) - D:\Program Files\Google\Update\GoogleUpdate.exe

SR - | Auto 04/04/2013 181664 | (JavaQuickStarterService) . (.Oracle Corporation.) - D:\Program Files\Java\jre7\bin\jqs.exe

SS - | Demand 14/11/2011 311928 | (maconfservice) . (.CybelSoft.) - D:\Program Files\ma-config.com\maconfservice.exe

SR - | Auto 04/04/2013 418376 | (MBAMScheduler) . (.Malwarebytes Corporation.) - D:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe

SS - | Auto 04/04/2013 701512 | (MBAMService) . (.Malwarebytes Corporation.) - D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

SS - | Demand 10/04/2013 115608 | (MozillaMaintenance) . (.Mozilla Foundation.) - D:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

SS - | Auto 08/01/2013 161536 | (SkypeUpdate) . (.Skype Technologies.) - D:\Program Files\Skype\Updater\Updater.exe

~ Services: Scanned in 00mn 04s

---\\ Recherche Master Boot Record Infection (MBR)(O80)

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Run by catherine at 22/05/2013 12:51:30

device: opened successfully

user: MBR read successfully

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys

1 ntkrnlpa!IofCallDriver[0x804EE1A0] >> \Device\Harddisk0\DR0[0x82D85AB8]

kernel: MBR read successfully

user & kernel MBR OK

~ MBR: 13 Legitimates Filtered in 00mn 02s

---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)

Written by ad13, http://ad13.gee k s tog

Run by catherine at 22/05/2013 12:51:32

********* Dump file Name *********

D:\PhysicalDisk0_MBR.bin

~ MBR: Scanned in 00mn 04s

~ 710 Legitimates filtered by white list

End of the scan (447 lines in 05mn 09s)(0)

pear · le 22 mai 2013

Bonsoir,

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

2)Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.

Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

4)Nouveau Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Il devrait y avoir 3 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le bouton

en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

pierrotlalune · le 23 mai 2013

Bonjour pear,

Merci pour ta célérité. Voici les rapports dans l'ordre:

# AdwCleaner v2.301 - Rapport créé le 22/05/2013 à 23:04:12

# Mis à jour le 16/05/2013 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : catherine -C7E87CD

# Mode de démarrage : Normal

# Exécuté depuis : D:\Documents and Settings\catherine\Mes documents\Téléchargements\adwcleaner.exe

# Option [Recherche]

***** [services] *****

***** [Fichiers / Dossiers] *****

Dossier Présent : D:\Documents and Settings\All Users\Application Data\Babylon

Dossier Présent : D:\Documents and Settings\catherine\Application Data\Babylon

Fichier Présent : D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\searchplugins\delta.xml

Fichier Présent : D:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Présente : HKCU\Software\5d28d8bbc38ec17

Clé Présente : HKCU\Software\BabylonToolbar

Clé Présente : HKCU\Software\DataMngr

Clé Présente : HKCU\Software\InstallCore

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Clé Présente : HKLM\Software\Babylon

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap

Clé Présente : HKLM\Software\DataMngr

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}

Clé Présente : HKU\S-1-5-21-448539723-1336601894-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123

-\\ Mozilla Firefox v21.0 (fr)

Fichier : D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\prefs.js

Présente : user_pref("avg.install.userHPSettings", "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntr[...]

Présente : user_pref("avg.install.userSPSettings", "Delta Search");

Présente : user_pref("extensions.delta.admin", false);

Présente : user_pref("extensions.delta.aflt", "babsst");

Présente : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");

Présente : user_pref("extensions.delta.autoRvrt", "false");

Présente : user_pref("extensions.delta.dfltLng", "en");

Présente : user_pref("extensions.delta.excTlbr", false);

Présente : user_pref("extensions.delta.id", "425b9d7e0000000000000011d8d65123");

Présente : user_pref("extensions.delta.instlDay", "15783");

Présente : user_pref("extensions.delta.instlRef", "sst");

Présente : user_pref("extensions.delta.newTab", false);

Présente : user_pref("extensions.delta.prdct", "delta");

Présente : user_pref("extensions.delta.prtnrId", "delta");

Présente : user_pref("extensions.delta.rvrt", "false");

Présente : user_pref("extensions.delta.smplGrp", "none");

Présente : user_pref("extensions.delta.tlbrId", "base");

Présente : user_pref("extensions.delta.tlbrSrchUrl", "");

Présente : user_pref("extensions.delta.vrsn", "1.8.10.0");

Présente : user_pref("extensions.delta.vrsnTs", "1.8.10.020:24:56");

Présente : user_pref("extensions.delta.vrsni", "1.8.10.0");

Fichier : D:\Documents and Settings\amis\Application Data\Mozilla\Firefox\Profiles\r77h6de0.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v27.0.1453.93

Fichier : D:\Documents and Settings\catherine\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Présente [l.395] : homepage = "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123",

Présente [l.492] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123" ]

*************************

AdwCleaner[R1].txt - [3968 octets] - [22/05/2013 23:04:12]

########## EOF - D:\AdwCleaner[R1].txt - [4028 octets] ##########

# AdwCleaner v2.301 - Rapport créé le 22/05/2013 à 23:09:59

# Mis à jour le 16/05/2013 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : catherine -C7E87CD

# Mode de démarrage : Normal

# Exécuté depuis : D:\Documents and Settings\catherine\Mes documents\Téléchargements\adwcleaner.exe

# Option [suppression]

***** [services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : D:\Documents and Settings\All Users\Application Data\Babylon

Dossier Supprimé : D:\Documents and Settings\catherine\Application Data\Babylon

Fichier Supprimé : D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\searchplugins\delta.xml

Fichier Supprimé : D:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\5d28d8bbc38ec17

Clé Supprimée : HKCU\Software\BabylonToolbar

Clé Supprimée : HKCU\Software\DataMngr

Clé Supprimée : HKCU\Software\InstallCore

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Clé Supprimée : HKLM\Software\Babylon

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap

Clé Supprimée : HKLM\Software\DataMngr

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123 --> hxxp://www.google.com

-\\ Mozilla Firefox v21.0 (fr)

Fichier : D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\prefs.js

D:\Documents and Settings\catherine\Application Data\Mozilla\Firefox\Profiles\qtyj1arv.default\user.js ... Supprimé !

Supprimée : user_pref("avg.install.userHPSettings", "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntr[...]

Supprimée : user_pref("avg.install.userSPSettings", "Delta Search");

Supprimée : user_pref("extensions.delta.admin", false);

Supprimée : user_pref("extensions.delta.aflt", "babsst");

Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");

Supprimée : user_pref("extensions.delta.autoRvrt", "false");

Supprimée : user_pref("extensions.delta.dfltLng", "en");

Supprimée : user_pref("extensions.delta.excTlbr", false);

Supprimée : user_pref("extensions.delta.id", "425b9d7e0000000000000011d8d65123");

Supprimée : user_pref("extensions.delta.instlDay", "15783");

Supprimée : user_pref("extensions.delta.instlRef", "sst");

Supprimée : user_pref("extensions.delta.newTab", false);

Supprimée : user_pref("extensions.delta.prdct", "delta");

Supprimée : user_pref("extensions.delta.prtnrId", "delta");

Supprimée : user_pref("extensions.delta.rvrt", "false");

Supprimée : user_pref("extensions.delta.smplGrp", "none");

Supprimée : user_pref("extensions.delta.tlbrId", "base");

Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");

Supprimée : user_pref("extensions.delta.vrsn", "1.8.10.0");

Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.10.020:24:56");

Supprimée : user_pref("extensions.delta.vrsni", "1.8.10.0");

Fichier : D:\Documents and Settings\amis\Application Data\Mozilla\Firefox\Profiles\r77h6de0.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v27.0.1453.93

Fichier : D:\Documents and Settings\catherine\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée [l.395] : homepage = "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=64CB0011D8D65123",

Supprimée [l.492] : urls_to_restore_on_startup = [ "hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntr[...]

*************************

AdwCleaner[R1].txt - [4097 octets] - [22/05/2013 23:04:12]

AdwCleaner[s1].txt - [4053 octets] - [22/05/2013 23:09:59]

########## EOF - D:\AdwCleaner[s1].txt - [4113 octets] ##########

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.9.4 (05.06.2013:1)

OS: Microsoft Windows XP x86

Ran by catherine on 22/05/2013 at 23:25:45,79

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL

~~~ Registry Keys

~~~ Files

~~~ Folders

~~~ FireFox

Emptied folder: D:\Documents and Settings\catherine\Application Data\mozilla\firefox\profiles\qtyj1arv.default\minidumps [8 files]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 22/05/2013 at 23:28:31,31

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Malwarebytes Anti-Malware (PRO) 1.75.0.1300

www.malwarebytes.org

Version de la base de données: v2013.05.22.10

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

catherine :: C7E87CD [administrateur]

Protection: Désactivé

22/05/2013 23:37:16

mbam-log-2013-05-22 (23-37-16).txt

Type d'examen: Examen complet (C:\|D:\|J:\|)

Options d'examen désactivées:

Elément(s) analysé(s): 280509

Temps écoulé: 2 heure(s), 2 minute(s), 2 seconde(s)

Processus mémoire détecté(s): 0