SOS - probleme de reboot automatique Fermé

Question

Bonjour, 



En voulant démarrer mon pc (sous windows 7), un message apparait au bout de quelques secondes "Windows a rencontré un problème critique, il redemarrera automatiquement dans 1 minute. veuillez enregister votre travail".

Est ce que quelqu'un peut m'aider s'il vous plait?

Pour vous aider voici un rapport de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:56:59, on 23/08/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Users\Anthony\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mywwwsites.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mywwwsites.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mywwwsites.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mywwwsites.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mywwwsites.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [TWebCamera] "C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [SmartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
O4 - HKLM\..\Run: [ToshibaServiceStation] C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60
O4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r
O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
O4 - HKLM\..\Run: [TosNC] %ProgramFiles%\Toshiba\BulletinBoard\TosNcCore.exe
O4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [MSCRM] "C:\Program Files\Microsoft Dynamics CRM\Client\ConfigWizard\CrmForOutlookInstaller.exe" /activateaddin
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OfferBox] C:\Program Files\OfferBox\OfferBox.exe
O4 - HKCU\..\Run: [cacaoweb] "C:\Users\Anthony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
O4 - HKCU\..\Run: [mcnoswxrea.exe] "C:\Users\Anthony\AppData\Local\Temp\mcnoswxrea.exe"
O4 - HKCU\..\Run: [oydsomfb] C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe
O4 - HKCU\..\Run: [aqhwpwpr] C:\Users\Anthony\AppData\Local\mwklnqvlb\hpgdovfshdw.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe (User 'Système')
O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O4 - Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = all-systems.local
O17 - HKLM\Software\..\Telephony: DomainName = all-systems.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = all-systems.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = all-systems.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GRA32A~1.DLL
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: ConfigFree WiMAX Service (cfWiMAXService) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Notebook Performance Tuning Service (TEMPRO) (TemproMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TemproSvc.exe
O23 - Service: TMachInfo - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA eco Utility Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TECO\TecoService.exe
O23 - Service: TOSHIBA HDD SSD Alert Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe
O23 - Service: TPCH Service (TPCHSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

Info_Queno · Answer

Il me semble que c'est un virus, mais quelqu'un devrait confirmer...

Essaye de reculer ton horloge d'un an lorsque tu as ce message, si ça augmente effectivement le compteur alors c'est le virus.

Utilisateur anonyme · Answer

Bonjour

Tu as plusieurs infections.

Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur 
 "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

====================================================
Bonjour

On va faire une analyse de ton systéme plus en profondeur. 


* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ). 
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html  (En bas de page).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\ 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

antonio69003 · Answer

Voilà le rapport de AD:

Merci d'avance pour votre aide

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:43:54 le 23/08/2009, Mode normal

Microsoft Windows 7 Professionnel   (X86) 
Anthony@PC-ANTHONY (TOSHIBA Satellite Pro L500) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
0,Dossier supprimé: C:\Users\Anthony\AppData\Local\Temp\AskSearch
0,Fichier supprimé: C:\Users\Anthony\AppData\Local\Temp\ASKSUTBLOG
0,Dossier supprimé: C:\Program Files\Ask.com
3,Fichier supprimé: C:\Windows\Installer\59d986b.msi 

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2445907
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 13 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/08/2009 (4886 Octet(s)) 

Fin à: 09:47:26, 23/08/2009 
 
============== E.O.F ==============

antonio69003 · Answer

tu as bien recu le lien du second rapport? au cas ou: le lien http://www.cijoint.fr/cjlink.php?file=cj201008/cijXlyHiiu.txt

Utilisateur anonyme · Answer

J'avais bien reçu ton rapport mais il me faut du temps pour analyser le rapport :)

A faire dans l'ordre. 

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKCU\..\Run: [oydsomfb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe 
O4 - HKCU\..\Run: [aqhwpwpr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\mwklnqvlb\hpgdovfshdw.exe 
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [oydsomfb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe 
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [aqhwpwpr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\mwklnqvlb\hpgdovfshdw.exe 
 O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [mcnoswxrea.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\Temp\mcnoswxrea.exe 
 O4 - HKCU\..\Run: [oydsomfb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe 
 O64 - Services: CurCS - (.not file.) - ahsrl (ahsrl)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AHSRL 
O15 - Trusted Zone: [HKCU\...\Domains] http.win-aah1ibwledu 
 O15 - Trusted Zone: [HKCU\...\Domains\www] http.win-aah1ibwledu 
[HKCU\Software\V71IQL7HI7]     
[HKCU\Software\cacaoweb]     
[HKCU\Software\wnxmal]     





----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

antonio69003 · Answer

comment faire pour les copier ds ZHPix?

antonio69003 · Answer

voilà le rapport:

Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 22/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-23-08-2010-10-42-32.txt
Run by Anthony at 23/08/2010 10:42:32
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - ahsrl (ahsrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_AHSRL  => Clé non supprimée
HKCU\Software\V71IQL7HI7  => Clé supprimée avec succès
HKCU\Software\cacaoweb  => Clé supprimée avec succès
HKCU\Software\wnxmal  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [oydsomfb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [aqhwpwpr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\mwklnqvlb\hpgdovfshdw.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [oydsomfb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local	jylnpikl\hqpwpmxshdw.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [aqhwpwpr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\mwklnqvlb\hpgdovfshdw.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2785965564-1206439688-1442276557-1000\..\Run: [mcnoswxrea.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Anthony\AppData\Local\Temp\mcnoswxrea.exe  => Valeur supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains\www] http.win-aah1ibwledu  => Valeur absente

========== Elément(s) de donnée du Registre ==========
O15 - Trusted Zone: [HKCU\...\Domains] http.win-aah1ibwledu  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\users\anthony\appdataoaming\cacaoweb\cacaoweb.exe  => Supprimé et mis en quarantaine
c:\users\anthony\appdata\local	jylnpikl\hqpwpmxshdw.exe  => Supprimé et mis en quarantaine
c:\users\anthony\appdata\local\mwklnqvlb\hpgdovfshdw.exe  => Supprimé et mis en quarantaine
c:\users\anthony\appdata\local	emp\mcnoswxrea.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

>>> Désactiver tous les programmes de protection (antivirus, antispyware...) et utiliser Internet Explorer pour faire un scan en ligne: ICI

    * Cliquer sur le bouton vert ESET Online Scanner button, cocher la case YES, I accept the Terms of Use et cliquer sur Start.
    * Accepter l'installation de l'ActiveX.
    * Cocher Scan archives et cliquer Start
    * Eset téléchargera la base de données et commencera le scan. Le laisser finir son scan.
    * Sauvegarder les résultats ("Fichier" => "Enregistrer sous...") sur le Bureau en le nommant "scan-results" pour les copier/coller ici
    * Cocher Uninstall application on close pour supprimer ESET Online Scanner de la machine et cliquer sur Finish.

Postes le rapport stp...

antonio69003 · Answer

le problème est que dès que j'essaie de me connecter sur le web, le message d'erreur apparait à nouveau et mon PC reboot. depuis tout à l'heure je travaille avec deux PC et un clé USB.

Comment puis-je faire?

Merci d'avance

Utilisateur anonyme · Answer

Le probléme actuel n'est pas du a un virus mais trés probablement a une défaillance matériel ou logiciel.

Pour eviter le reboot tentes cette manip.
Panneau de Configuration
clic sur l' icône "Système"
clic sur Lien "Paramètres système avancés"===>rubrique "Démarrage et Récupération" ===> bouton "Paramètres"
décoches la case "Redémarrer automatiquement"

antonio69003 · Answer

Malgré la manip, ca ne marche pas. le message d'erreur apparait dès que je me connecte.

J'ai essayé une restauration du système a une date antérieure mais c le fameux: C\Windows\System32\drivers\ahsrl.sys qui l'empeche.

Merci d'avance pour ton aide

Est ce que je peux telecharger lantivirus ESET? Est ce que cela peut etre une solution pour pallier au scan online?

Utilisateur anonyme · Answer

On va oublier eset et faire un scan gmer.

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

antonio69003 · Answer

Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201008/cijYmh6Qok.txt 

Par contre, j'ai été obligé de me mettre en mode sans echec car au milieu du scan, le pc a planté est un écran noir avec un carre bleu est apparu...

Merci d'avance

Utilisateur anonyme · Answer

A faire dans l'ordre.   
1/ 
   *  Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau 

Notes bien ce qu'il y a en gras dans la partie OTM et la partie 3/ car tu n'auras pas accés a internet.Sauvegardes le dans ton bloc notes. 
Redémarres en mode sans échec.. 


2/ 
    * Double-clique sur OTM.exe pour le lancer. 
    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 


----------------------------- 




:Services 
ahsrl 
:files 
 C:\Windows\System32\Drivers\ahsrl.sys  


:commands 
[emptytemp] 
 


----------------------------- 

    * clique sur MoveIt! puis ferme OTM. 
    * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
    * Accepte en cliquant sur YES. 
    * Poste le rapport situé dans C:\_OTM\MovedFiles. 
    * Le nom du rapport correspond au moment de sa création : date_heure.log 

========================================================= 
   3/ 

 * Clic sur Démarrer -> Exécuter -> tapez regedit puis cliquez sur [OK] 
    * Dans la fenêtre de l'éditeur du Registre ouvrez l'arborescence des ruches 
 « HKEY_LOCAL_MACHINE » « SYSTEM », « ControlSet00x », « Enum », « Root ». 
puis sélectionnez la clé à supprimer sans vous tromper.Pour toi ce sera Legacy _AHSRL  Faites alors un « clic droit » et, dans la fenêtre qui s'ouvre, choisissez [Autorisations]. 
    * Dans la fenêtre qui s'ouvre, sélectionnez [Tout le monde], cochez la case Autoriser [X] Contrôle total et confirmez [OK] 
    * Il ne reste plus qu'à faire un nouveau « clic droit » sur la clé « Legacy » et sélectionner [Supprimer]. 

Redémarres ton pc et test le.Reboot-il toujours?


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

antonio69003 · Answer

j'ai fait toute la demarche mais à la dernière action ilme dit: "Impossible d'enregistrer les modifications d'autorisation sur LEGACY_AHSRL. Accès refusé"

Ton conseil?

antonio69003 · Answer

voici le rapport:

All processes killed
========== SERVICES/DRIVERS ==========
Error: No service named ahsrl was found to stop!
Service\Driver key ahsrl not found.
========== FILES ==========
File move failed. C:\Windows\System32\Drivers\ahsrl.sys scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 49208 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Administrator
 
User: All Users
 
User: Anthony
->Temp folder emptied: 463139632 bytes
->Temporary Internet Files folder emptied: 414983873 bytes
->Java cache emptied: 425304 bytes
->Google Chrome cache emptied: 354821262 bytes
->Flash cache emptied: 37377 bytes
 
User: anthony.saracino
->Temp folder emptied: 428118 bytes
->Temporary Internet Files folder emptied: 58560 bytes
->Google Chrome cache emptied: 6811218 bytes
->Flash cache emptied: 41044 bytes
 
User: csensoli
->Temp folder emptied: 1171931 bytes
->Temporary Internet Files folder emptied: 170966 bytes
->Flash cache emptied: 41044 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sarrazinv
->Temp folder emptied: 371265 bytes
->Temporary Internet Files folder emptied: 31061646 bytes
->Flash cache emptied: 41478 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 11253421 bytes
RecycleBin emptied: 39731094 bytes
 
Total Files Cleaned = 1 263,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08232010_152403

Files moved on Reboot...
File C:\Windows\System32\Drivers\ahsrl.sys not found!
File C:\Windows	emp\mcmsc_SPRCbDDau999nOJ not found!

Registry entries deleted on Reboot...

antonio69003 · Answer

j'ai suivi les instructions à la lettre mais le problème demeure. Je ne suis pas en droit administrateur, est-ce que cela pourrait avoir une incidence?

Encore merci pour le temps passé...

antonio69003 · Answer

ca marche pas!!! je commence à desesperer

antonio69003 · Answer

non je comprens pas

antonio69003 · Answer

des suggestions?

Utilisateur anonyme · Answer

Normalement la clé aurait du sauté.

1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.

* Décompresse le fichier
* avenger.exe sur le bureau

2. Copie le contenu en gras ci-dessous (CTRL+C),


Drivers to delete:
ahsrl

Files to delete:
C:\Windows\System32\Drivers\ahsrl.sys 

Registry keys to delete:
KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AHSRL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AHSRL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AHSRL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AHSRL



Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse. 

Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html

antonio69003 · Answer

Voici le rapprt de AVENGER 
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7600)
Mon Aug 23 17:59:37 2010

17:59:30: Error: Invalid registry syntax in command:
"KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AHSRL"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ahsrl" deleted successfully.
File "C:\Windows\System32\Drivers\ahsrl.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AHSRL" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AHSRL" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AHSRL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AHSRL" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Utilisateur anonyme · Answer

Tu peux refaire Avenger avec ce nouveau script.

Drivers to delete:
ahsrl

Files to delete:
C:\Windows\System32\Drivers\ahsrl.sys

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AHSRL


Post le rapport et dis moi si ton pc fonctionne mieux.

antonio69003 · Answer

Merci pour ton aide... La vilaine clé a sauté... Le PC marche correctement à nouveau malgré un peu plus de lenteur mais on va pas seplaindre...

Encore merci et bonne soirée

Utilisateur anonyme · Answer

Si tu passes dans le coin post un nouveau rapport Zhpdiag

a++

SOS - probleme de reboot automatique

25 réponses

Discussions similaires