{E2883E8F-472F-4FB0-9522-AC9BF37916A7} Fermé

Question

Bonjour, 

Depuis hier soir je n'arrive plus à accéder à ma boite mail et ce que j'utilise FF ou IE8. Il en est de même pour d'autre site qui ne retiennent pas mes identifiants. Je n'arrive même pas à accéder à la page voulue.Après avoir vérifié que tout était bien paramétré au niveau de mes cookies, j'ai désinstallé les navigateurs, les ai réinstallés sans succès. Je suis revenue à une version précédente d'IE. 

En vérifiant mes paramètres fichiers internet et historique et en affichant les objets, j'ai constaté que le contrôle active X était endommagé avec la mention{E2883E8F-472F-4FB0-9522-AC9BF37916A7}. 

Suite à des recherches sur le net, j'ai cru comprendre qu'il s'agissait d'un virus et je suis tombée sur ce forum (https://forums.commentcamarche.net/forum/affich-13881846-virus-resistant gen-hackman a donné des instructions que j'ai suivi mais à un moment du process (j'ai dû faire une erreur...) je n'ai pas trouvé dans OTL/moved files le fichier Windows\system32\igfxTMM.dll. L'analyse m'indique même la chose suivante:

File\Folder C:\Windows\System32\igfxTMM.dll not found.
File\Folder C:\Windows\aacaowtwh.ini not found.
File\Folder C:\Windows\System32\e25027f4.dll not found.
File\Folder C:\Windows\System32\96227f08.dll not found.
File\Folder C:\Windows\System32\da977883.dll not found.

Après redémarrage mon ordi a planté, j'ai dû redémarrer en mode sans échec pour lancer une réparation de windows.

Gen-hackman si tu pouvais m'aider ce serait bien sympa de ta part. je  colle le rapport si besoin.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xporter vers Microsoft Excel\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Translate with &Babylon\ not found.
Starting removal of ActiveX control {22945A69-1191-4DCF-9E6F-409BDE94D101}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Unable to delete ADS C:\ProgramData\TEMP:DFC5A2B2 .
========== FILES ==========
File\Folder C:\Windows\System32\igfxTMM.dll not found.
File\Folder C:\Windows\aacaowtwh.ini not found.
File\Folder C:\Windows\System32\e25027f4.dll not found.
File\Folder C:\Windows\System32\96227f08.dll not found.
File\Folder C:\Windows\System32\da977883.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: s
->Temp folder emptied: 146576 bytes
->Temporary Internet Files folder emptied: 4054012 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1048576 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 5,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08142010_020433

Files\Folders moved on Reboot...
File\Folder C:\Windows	emp\TMP00000015277957D10FD2B9E8 not found!

Registry entries deleted on Reboot...


Merci d'avance de ton aide

S

Configuration: Windows Vista / Internet Explorer 7.0

Sss · Answer

Ah oui j'ai d'abord lancé un process correction ie par erreur. puis j'ai dû m'y reprendre à plusieurs fois avant que je puisse restaurer les sites sensibles etc.

gen-hackman · Answer

salut lol il ne faut pas reproduire forcement tout ce qu on lit sur les autres topics
forcement que les fichiers ornanr ton ordi sont differents suivant les cas , d'autres pc.

quels outils as-tu utilisé ? quels rapports as-tu ?

Sss · Answer

Oui oui je sais mais comme j'étais à deux doigts de jeter l'ordi par la fenêtre (si si!), je me suis dit advienne que pourra je le fais!

j'ai utilisé tous les programmes préconisés:

-  Ad-remover 

======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 13/06/10 à 20:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:03:24 le 14/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
s, PC-DE-S (Micro-Star International PR210) 
 
============== RECHERCHE ==============




============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\s\AppData\Roaming\Mozilla\FireFox\Profiles\g9ju6fxm.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://by128w.bay128.mail.live.com/default.aspx?wa=wsignin1.0

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 14/08/2010 (1810 Octet(s)) 

Fin à: 01:12:27, 14/08/2010 
 
============== E.O.F ============== 


-UsbFix



############################## | UsbFix V6.059 |

User : s (Administrateurs) # PC-DE-S
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 01:16:38 | 14/08/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 34,18 Go (6,99 Go free) [OS_Install] # NTFS
D:\ -> Disque fixe local # 262,93 Go (257,39 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 552
C:\Windows\system32\csrss.exe 680
C:\Windows\system32\wininit.exe 728
C:\Windows\system32\csrss.exe 740
C:\Windows\system32\services.exe 772
C:\Windows\system32\lsass.exe 784
C:\Windows\system32\lsm.exe 792
C:\Windows\system32\winlogon.exe 836
C:\Windows\system32\svchost.exe 984
C:\Windows\system32\svchost.exe 1064
C:\Windows\System32\svchost.exe 1104
C:\Windows\system32\Ati2evxx.exe 1204
C:\Windows\System32\svchost.exe 1220
C:\Windows\System32\svchost.exe 1244
C:\Windows\system32\svchost.exe 1260
C:\Windows\system32\svchost.exe 1420
C:\Windows\system32\SLsvc.exe 1440
C:\Windows\system32\svchost.exe 1568
C:\Windows\system32\Ati2evxx.exe 1620
C:\Windows\system32\svchost.exe 1708
C:\Windows\System32\spoolsv.exe 1968
C:\Program Files\Avira\AntiVir Desktop\sched.exe 2004
C:\Windows\system32\svchost.exe 2020
C:\Windows\system32	askeng.exe 1168
C:\Windows\system32\agrsmsvc.exe 1704
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1584
C:\Windows\system32\svchost.exe 1516
C:\Windows\system32\svchost.exe 908
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe 2052
C:\Windows\System32\svchost.exe 2072
C:\Windows\system32\SearchIndexer.exe 2108
D:\Applications\upeksvr.exe 3392
C:\Windows\system32	askeng.exe 2160
C:\Windows\system32\Dwm.exe 2784
C:\Windows\Explorer.EXE 3180
C:\Program Files\Windows Defender\MSASCui.exe 3580
C:\Windows\RtHDVCpl.exe 3668
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3824
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 3836
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 1464
D:\Applications\psqltray.exe 2356
C:\Users\s\Program Files\DNA\btdna.exe 2380
C:\Windows\ehome\ehtray.exe 3332
C:\Program Files\AVEO\AVEO UVC Filter Driver Kit\AveoSTI.exe 2064
C:\Windows\ehome\ehmsas.exe 720
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 2860
C:\Windows\system32\conime.exe 4216
C:\Program Files\Internet Explorer\ieuser.exe 1696
C:\Windows\system32\wbem\wmiprvse.exe 2252
C:\Program Files\Ad-Remover\main.exe 5508

################## | Fichiers # Dossiers infectieux |


################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.059 ! |


-OTL

http://www.cijoint.fr/cjlink.php?file=cj201008/cijM7wAfKh.txt 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijSmV1dI2.txt

-OTL après restauration ZR
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_USERS\S-1-5-21-2214938991-1096659728-3722590057-1000_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xporter vers Microsoft Excel\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Translate with &Babylon\ not found.
Starting removal of ActiveX control {22945A69-1191-4DCF-9E6F-409BDE94D101}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22945A69-1191-4DCF-9E6F-409BDE94D101}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Unable to delete ADS C:\ProgramData\TEMP:DFC5A2B2 .
========== FILES ==========
File\Folder C:\Windows\System32\igfxTMM.dll not found.
File\Folder C:\Windows\aacaowtwh.ini not found.
File\Folder C:\Windows\System32\e25027f4.dll not found.
File\Folder C:\Windows\System32\96227f08.dll not found.
File\Folder C:\Windows\System32\da977883.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: s
->Temp folder emptied: 13993184 bytes
->Temporary Internet Files folder emptied: 17153251 bytes
->FireFox cache emptied: 4739987 bytes
->Google Chrome cache emptied: 28915527 bytes
->Flash cache emptied: 2189 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5263 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 62,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08142010_015000

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Voilà, voilà :)

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve sur ce lien :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijnKas00F.txt

&#9654 colle-la dans la zone sous "Personnalisation"

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Sss · Answer

Done.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\NoHotStart deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1726572517-3526167936-1292267740-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\NoHotStart deleted successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
========== FILES ==========
C:\Users\sue\Program Files\DNA\plugins folder moved successfully.
C:\Users\sue\Program Files\DNA folder moved successfully.
C:\Users\sue\Program Files folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\aveosti.exe.lnk moved successfully.
File\Folder C:\Users\Public\Desktop\Choix de navigateur .lnk not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: sue
->Temp folder emptied: 98762 bytes
->Temporary Internet Files folder emptied: 5735601 bytes
->FireFox cache emptied: 4010273 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1896 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 9,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08142010_125044

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


petite question peut-être un peu débile. Comme mon super ordi n'enregistre aucun cookie tout ça, je bosse avec mon ordi pro et je le connecte à distance sur le réseau de la boite. 

Ce matin, je ne l'ai pas fait et j'ai eu le même souci sur hotmail par exemple (Actualisez la fenêtre de votre navigateur. Quand vous accédez à votre compte Windows Live Hotmail sur plusieurs ordinateurs, reconnectez-vous de façon à assurer la confidentialité et la sécurité de votre compte. ). Je me suis connecté sur le reseau pro et là no pb. Serait-il contaminé également?

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Sss · Answer

Voici les liens. Encore merci
http://www.cijoint.fr/cjlink.php?file=cj201008/cijcXDKtqc.txt 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijSguZRXh.txt

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Sssue · Answer

voici:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.7 ¤¤¤¤¤¤¤¤¤¤

User : sue (Administrateurs)
Update on 14/08/2010 by g3n-h@ckm@n ::::: 03.30
Start at: 15:17:53 | 14/08/2010

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 34,18 Go (8,68 Go free) [OS_Install] | NTFS
D:\ -> Disque fixe local | 262,93 Go (257,39 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe ----728 Ko
C:\Windows\system32\csrss.exe ----4952 Ko
C:\Windows\system32\wininit.exe ----3968 Ko
C:\Windows\system32\csrss.exe ----9488 Ko
C:\Windows\system32\services.exe ----6772 Ko
C:\Windows\system32\lsass.exe ----9384 Ko
C:\Windows\system32\winlogon.exe ----5412 Ko
C:\Windows\system32\lsm.exe ----3856 Ko
C:\Windows\system32\svchost.exe ----5368 Ko
C:\Windows\system32\svchost.exe ----5532 Ko
C:\Windows\System32\svchost.exe ----31676 Ko
C:\Windows\system32\LogonUI.exe ----22648 Ko
C:\Windows\system32\Ati2evxx.exe ----4020 Ko
C:\Windows\System32\svchost.exe ----9652 Ko
C:\Windows\System32\svchost.exe ----12288 Ko
C:\Windows\system32\svchost.exe ----18504 Ko
C:\Windows\system32\svchost.exe ----4620 Ko
C:\Windows\system32\SLsvc.exe ----11528 Ko
C:\Windows\system32\svchost.exe ----8064 Ko
C:\Windows\system32\Ati2evxx.exe ----5940 Ko
C:\Windows\system32\svchost.exe ----12116 Ko
D:\Applications\upeksvr.exe ----9364 Ko
C:\Windows\System32\spoolsv.exe ----11200 Ko
C:\Program Files\Avira\AntiVir Desktop\sched.exe ----7616 Ko
C:\Windows\system32\svchost.exe ----10608 Ko
C:\Windows\system32\agrsmsvc.exe ----2352 Ko
C:\Program Files\Avira\AntiVir Desktop\avguard.exe ----68020 Ko
C:\Windows\system32\svchost.exe ----5136 Ko
C:\Windows\system32\svchost.exe ----6152 Ko
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe ----3576 Ko
C:\Windows\System32\svchost.exe ----2172 Ko
C:\Windows\system32\SearchIndexer.exe ----7508 Ko
C:\Windows\system32\taskeng.exe ----5300 Ko
C:\Windows\system32\userinit.exe ----3160 Ko
C:\Windows\system32\taskeng.exe ----9204 Ko
C:\Windows\system32\Dwm.exe ----3708 Ko
C:\Windows\Explorer.EXE ----11156 Ko
C:\Windows\system32\runonce.exe ----4664 Ko
C:\Windows\system32\cmd.exe ----2608 Ko
C:\Windows\system32\conime.exe ----2992 Ko
C:\Windows\system32\wbem\wmiprvse.exe ----8396 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----5228 Ko
C:\Program Files\List_Kill'em\pv.exe ----5456 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Windows\System32\psqlpwd.dll
Quarantined & Deleted !! : C:\Users\sue\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\sue\AppData\Local\GDIPFONTCACHEV1.DAT

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psfus"

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x852421F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x852421f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

tu as un emulateur ?

Sssue · Answer

Nope, pas que je sache en tous cas!

gen-hackman · Answer

daemon tools ?

Sssue · Answer

yep

gen-hackman · Answer

ok impec alors


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge ici :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Sssue · Answer

L'analyse vient de finir et aucun objet infecté n'a été trouvé. 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4425

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

14/08/2010 17:07:44
mbam-log-2010-08-14 (17-07-44).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 213039
Temps écoulé: 43 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

bien des soucsi persistent .?

Sssue · Answer

Oui.
lorsque après une opération de nettoyage je poste le rapport via mon ordi perso, je ne peux toujours pas me logger ici. 
IE et FF ne se rappellent toujours pas de mes identifiants. Je ne peux le faire que lorsque je suis sur mon ordi pro.
Ma boite hotmail m'indique toujours que je dois actualiser mon navigateur et IE que "le mode protégé est actuellement désactivé pour la zone intranet local". J'ai beau modifier mes paramètres de sécurité, rien... C'est dingue.
Je me demande si ce n'est pas lié à ma connexion puisque lorsque je sors du réseau de mon entreprise mon pc pro réagit de la même façon.

gen-hackman · Answer

tu as quand meme accès à internet avec ?

Sssue · Answer

oui

Sssue · Answer

mais il y a certaines pages auxquelles je ne peux accéder du fait de l'impossibilité d'identification.

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir"

D:\Applications\upeksvr.exe
 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de la page  dans ta prochaine réponse.