écran bleu à répétition Résolu/Fermé

Question

Bonjour, 

Pourriez vous m'aider s'il vous plaît car mon ordi m'affiche un écran bleu à chaque démarrage. 
Le 1er message concernait le fichier Ntfs.sys les message suivant concernait le problème IRQL_NOT_LESS_OR_EQUAL. 
Lorsque je démarre en mode sans échec et que je restaure ça va quelques minutes puis d'un seul coup il replante.

Pourriez vous me conseiller s'il vous plait. Je ne sais pas du tout quoi faire. 

Merci d'avance

Dzy

PS : je ne sais pas si je sur le bon forum !

Configuration: Windows XP / Firefox 3.6.13

vparres · Answer

Salut,

Je pense que tu est sur le bon forum, via les symptomes j'établis trois hypothèses :
1) Virus; Solution : Scan antivirus :p
2) Systeme de fichiers (NTFS) Corrrompu; Solution : CHKDSK dans la cmd
3) Pilote NTFS corrompu; Solution : Reformatage ... :s

Voila :) en espérant avoir repondu et t'avoir donné une solution

@@+++

verni29 · Answer

Bonjour, 

Oui, sans doute que ce fichier est corrompu.
Inutile pour autant de faire un formatage du PC.

Il doit y avoir une copie saine de ce fichier pour pouvoir le remplacer.

---------------------------------------------------------------

Redémarre en mode sans échec avec prise en charge réseau ( pour l'accès au net ).

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT ) 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu ) 
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir. 

# Lance Combofix.exe et suis les invites. 
# Il te sera demandé d'installer la console de récupération. 
Important. Fais le absolument. 

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.  

# Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt. 

A+

Dézirée · Answer

oui j'ai le net je suis en mode sans échec avec prise en charge réseau (du moins je peux accéder au net car mon imprimante n'est plus reconnu).

je lance le logiciel et je poste le rapport dès que ça a tourné.

A+

Dézirée · Answer

Et voici le rapport attendu. 
Bonne lecture ... (pour moi c'est pire que des hiéroglyphes).



ComboFix 10-12-29.02 - Administrateur 30/12/2010  10:36:38.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.959.591 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Pare-feu Online Armor *Enabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\USER\Application Data\inst.exe
c:\program files\pdfforge Toolbar\IE\4.1\pdFForgetoolbarie.dll
c:\windows\system\QTIM32.DLL
c:\windows\system32\Oeminfo.ini
c:\windows\system32\win.ini
D:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-28 au 2010-12-30  ))))))))))))))))))))))))))))))))))))
.

2010-12-30 08:53 . 2010-12-30 08:53	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Avira
2010-12-30 08:49 . 2010-12-30 08:49	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\OpenOffice.org
2010-12-30 08:17 . 2010-12-30 08:17	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-12-28 11:43 . 2010-12-30 08:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\pdfforge
2010-12-20 12:50 . 2010-12-20 12:50	1409	----a-w-	c:\windows\QTFont.for
2010-12-14 16:55 . 2010-12-14 16:55	--------	d-----w-	c:\documents and settings\LocalService\Menu Démarrer
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\system32\GPhotos.scr

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-14 16:54 . 2010-06-21 16:13	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-14 16:54 . 2009-09-21 14:51	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2004-08-18 14:29	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2004-08-18 14:11	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-18 14:10	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-18 14:10	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2004-08-18 14:10	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-18 14:11	40960	----a-w-	c:\windows\system32\drivers
dproxy.sys
2010-10-28 13:14 . 2004-08-18 14:10	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2004-08-18 14:11	1853440	----a-w-	c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2009-07-11 2121416]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"MFFSum_Pro_LL2"="c:\program files\Companion Suite Pro LL2\MFFSUM.exe" [2009-10-16 24576]
"MFPrintServer_Pro_LL2"="c:\program files\Companion Suite Pro LL2\MFPrintServer.exe" [2009-10-16 73728]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-11-13 29984]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-11-13 46368]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SearchSettings"="c:\program files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" [2010-10-22 524288]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-07-11 336584]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 10:44	31072	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
2005-02-16 16:02	49152	----a-w-	c:\windows\system32\SiSPower.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Service]
2005-06-14 11:30	30208	--s-a-w-	c:\progra~1\FICHIE~1\TEKNUM~1\update.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\APPS\Powercinema\PowerCinema.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Vuze\Azureus.exe"=

R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [05/08/2009 12:21 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [05/08/2009 12:21 29776]
R3 XMLDIUSB;XML USB Device Interface;c:\windows\system32\drivers\XMLDIUSB.sys [08/10/2010 19:10 33152]
S1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [05/08/2009 12:21 200784]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/06/2010 17:13 135336]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [22/10/2010 16:38 386560]
S2 FUSServices;Session Launcher Service;c:\windows\system32\FUSServices.exe [16/10/2009 02:43 10752]
S2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [05/08/2009 12:20 362184]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [05/08/2009 12:20 3142344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-12-30 c:\windows\Tasks\User_Feed_Synchronization-{77D4A10A-0C15-4AAE-817A-F55C6A257BA5}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.nec-online.fr
mWindow Title = 
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\sbphsipf.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-NAV CfgWiz - c:\program files\Norton AntiVirus\CfgWiz.exe
MSConfigStartUp-SSC_UserPrompt - c:\program files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-30 10:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1016972401-1987054734-483438715-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,06,41,85,30,5d,12,38,4a,82,5e,51,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,06,41,85,30,5d,12,38,4a,82,5e,51,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
Heure de fin: 2010-12-30  10:42:17
ComboFix-quarantined-files.txt  2010-12-30 09:42

Avant-CF: 17 485 627 392 octets libres
Après-CF: 18 206 154 752 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - AECBAD4F646A39DA4112F01AB165F3BA

verni29 · Answer

dézirée, 

ComboFix n'a pas relevé d'infection sur le driver.

Es-tu toujours en mode sans échec avec prise en charge réseau ?
As-tu essayer de redémarrer sous windows ?

-----------------------------------------------------------------

Dans l'un ou l'autre cas, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
ntfs.sys
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

Dézirée · Answer

Je viens de redémarrer normalement. Il s'allume bien mais rien n'est dit que ça dure il m'a déjà fait le coup plusieurs fois ces derniers jours. Il démarre et puis au bout d'un moment il plante. 

Je m'occupe de OTl.scr. 
a+

verni29 · Answer

Re, 

J'avais bien compris.
On veillera pour ntfs.sys à l'analyser et le remplacer si il le faut.

A+

verni29 · Answer

Dézirée, 

Je dois m'absenter jusqu'à midi.

A+

Dézirée · Answer

me revoilà,

Voici le rapport OTL.txt : 
http://www.cijoint.fr/cjlink.php?file=cj201012/cijbwLPFwH.txt
Le rapport extras.txt est introuvable (j'ai lancé une recherche sur mon ordi ... nada)

Pour simple info, au cas ou ça pourrait être utile : mon antivirus me bloque "pour ma sécurité" l'accès à un fichier C:\autorun.inf, idem pour le même fichier sous D:\ (mon DD externe).

Merci pour ton aide

Dzy

verni29 · Answer

Dézirée, 

pour Antivir, si tu es passé à la dernière version, elle détecte ce type de démarrage et de fichiers autorun.inf.

Il faudra vérifier si ces fichiers sont des vaccins ( avec USBFix ) ou des fichiers infectieux.

je regarde les rapports.

A+

Dézirée · Answer

Pour antivir j'ai la version 10.0.0.107 de décembre 2010.

Pour ce qui est des vaccins ... une fois de plus je suis larguée. Peux-tu m'en dire un peu plus, car je ne sais même pas ce que c'est ?

verni29 · Answer

Re,  

1/ désinstalle SearchSettings via le panneau de configuration. 

2/ Télécharge AD-Remover de C_XX sur ton bureau :  
http://www.teamxscript.org/too/AD-R.exe  

Tu te déconnectes du net et ferme toutes les applications en cours.  

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.  
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm  

    * Double-clique sur AD-R.exe .  
    * Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage .  
    * Suis les invites.  
    * Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte  

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.  

Note : Il se trouve en C:\AD-Report-Clean.log 

3/ Télécharge  USBFix  ( par El Desaparecido ) sur ton bureau. 

* Double clique sur UsbFix.exe présent sur ton bureau . 
* clique sur Recherche .  
* Un message t'avertira de brancher les supports amovibles.  
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir 
FAIS-LE. 
* Laisse travailler l'outil. 
* Ensuite post le rapport UsbFix.txt qui apparaitra. 
 
 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

Dézirée · Answer

Voici le rapport de AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:29:13 le 30/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
USER@204164880007 ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
Dossier supprimé: C:\Documents and Settings\USER\Application Data\Mozilla\FireFox\Profiles\j4mf8dh3.default\conduit
Dossier supprimé: C:\Documents and Settings\USER\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\USER\Application Data\pdfforge
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\USER\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Fichiers communs\Spigot

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\USER\Application Data\Mozilla\FireFox\Profiles\j4mf8dh3.default\Prefs.js --
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\AskBarDis
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Barre d'outils Crawler
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\EoRezo
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\ItsLabel
Clé supprimée: HKLM\Software\Classes\Installer\Products\B6FDFB1B30C3ef645B7DABBB00368D0E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B6FDFB1B30C3ef645B7DABBB00368D0E

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\USER\Application Data\Mozilla\FireFox\Profiles\j4mf8dh3.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\USER\Bureau
browser.startup.homepage, hxxp://lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\sbphsipf.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 75 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/12/2010 (3698 Octet(s)) 

Fin à: 12:32:16, 30/12/2010 
 
============== E.O.F ==============

Dézirée · Answer

Et voici le rapport de USBfix

############################## | UsbFix 7.036 | [Recherche]

Utilisateur: USER (Administrateur) # 204164880007 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 12:42:19 | 30/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.56 [Enabled | Updated]
Firewall: Pare-feu Online Armor 3.5.0.32 [Enabled]
RAM -> 959 Mo 
C:\ (%systemdrive%) -> Disque fixe # 69 Go (17 Go libre(s) - 25%) [HDD] # NTFS
D:\ -> Disque fixe # 932 Go (750 Go libre(s) - 81%) [Expansion Drive] # NTFS
Q:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

verni29 · Answer

Re, 

Surprenant le rapport d'USBFix.
Tu me dis que Antivir te donne des messages sur des fichiers autorun.inf.
USBfix n'en détecte aucun.

--------------------------------------

1/ Relance OTL.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
PRC - [2010/10/22 16:47:26 | 000,524,288 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys -- (catchme)
FF - prefs.js..browser.startup.homepage: "http://lo.st"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.1
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.1
O3 - HKU\S-1-5-21-1016972401-1987054734-483438715-1005\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O3 - HKU\S-1-5-21-1016972401-1987054734-483438715-1005\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34

:files
C:\Autorun.inf
D:\Autorun.inf

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

2/ Relance USBFix et choisis l'option Suppression.

Poste le rapport obtenu.

A+

Dézirée · Answer

voici le rapport de OTL

All processes killed
========== OTL ==========
No active process named SearchSettings.exe was found!
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys not found.
Prefs.js: "http://lo.st" removed from browser.startup.homepage
Prefs.js: pdfforge@mybrowserbar.com:4.1 removed from extensions.enabledItems
Prefs.js: wtxpcom@mybrowserbar.com:4.1 removed from extensions.enabledItems
Registry value HKEY_USERS\S-1-5-21-1016972401-1987054734-483438715-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041D03E-FD4B-44E0-B742-2D9B88305F98} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
Registry value HKEY_USERS\S-1-5-21-1016972401-1987054734-483438715-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4B3803EA-5230-4DC3-A7FC-33638F3D3542} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings not found.
File C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe not found.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34 deleted successfully.
========== FILES ==========
C:\autorun.inf folder moved successfully.
File\Folder D:\Autorun.inf not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 40817445 bytes
->Flash cache emptied: 612 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: USER
->Temp folder emptied: 12080 bytes
->Temporary Internet Files folder emptied: 6371325 bytes
->Java cache emptied: 954349 bytes
->FireFox cache emptied: 186274345 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1901438 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 6678 bytes
 
Total Files Cleaned = 226,00 mb
 
 
[EMPTYFLASH]
 
User: Administrateur
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: USER
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.18.2 log created on 12302010_131754

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dézirée · Answer

exact, j'ai redémarré .

Puis j'ai lancé USBFIX qui me demande d'envoyer un fichier (C:_UsbFix_Upload8Me_204164880007.zip). Je l'envoie . C'est quoi ?

Voici le rapport de USBFix : 
############################## | UsbFix 7.036 | [Suppression]

Utilisateur: USER (Administrateur) # 204164880007 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 13:26:20 | 30/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.56 [Enabled | Updated]
Firewall: Pare-feu Online Armor 3.5.0.32 [Enabled]
RAM -> 959 Mo 
C:\ (%systemdrive%) -> Disque fixe # 69 Go (17 Go libre(s) - 25%) [HDD] # NTFS
D:\ -> Disque fixe # 932 Go (750 Go libre(s) - 81%) [Expansion Drive] # NTFS
Q:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1016972401-1987054734-483438715-1005
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-123614964-1500171274-2391072444-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2614259963-459268306-4257737374-1000
Supprimé! D:\Recycler\S-1-5-21-1016972401-1987054734-483438715-1005
Supprimé! D:\Recycler\S-1-5-21-1016972401-1987054734-483438715-500

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[03/12/2009 - 20:11:09 | D ] 	C:\83a714b5f067dc996580c223
[30/12/2010 - 12:32:16 | N | 5630] 	C:\Ad-Report-CLEAN[1].txt
[22/11/2008 - 16:39:05 | D ] 	C:\Alsyd
[24/04/2008 - 20:05:45 | D ] 	C:\APPS
[08/05/2010 - 13:16:57 | N | 292] 	C:\Boot.bak
[30/12/2010 - 10:35:41 | N | 328] 	C:\BOOT.INI
[05/08/2004 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[30/12/2010 - 10:35:41 | D ] 	C:\cmdcons
[05/08/2004 - 13:00:00 | N | 263488] 	C:\cmldr
[30/12/2010 - 10:42:17 | N | 13137] 	C:\ComboFix.txt
[30/12/2010 - 09:16:58 | D ] 	C:\Config.Msi
[09/11/2010 - 16:39:10 | D ] 	C:\data101
[24/04/2008 - 20:06:21 | D ] 	C:\DIVTOOLS
[24/04/2008 - 11:14:33 | D ] 	C:\Documents and Settings
[27/10/2009 - 14:28:09 | D ] 	C:\DRIVERS
[14/06/2005 - 12:13:10 | N | 4174] 	C:\DWNLOG.TXT
[25/05/2010 - 08:53:31 | D ] 	C:\EPSON
[26/12/2009 - 17:41:42 | D ] 	C:\installXP
[03/12/2009 - 22:09:51 | D ] 	C:\INSTALXP
[14/06/2005 - 12:28:39 | N | 0] 	C:\IO.SYS
[16/05/2010 - 17:17:57 | N | 13987] 	C:\JavaRa.log
[24/10/2009 - 17:13:35 | D ] 	C:\Kill'em
[04/06/2008 - 17:20:04 | D ] 	C:\lj1010 series
[06/05/2010 - 14:21:05 | N | 127] 	C:\mbam-error.txt
[14/06/2005 - 12:28:39 | N | 0] 	C:\MSDOS.SYS
[11/05/2010 - 20:03:44 | RD ] 	C:\MSOCache
[11/05/2010 - 20:03:43 | D ] 	C:\MSOCache(2)
[05/08/2004 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[01/06/2008 - 16:12:56 | N | 252240] 	C:\NTLDR
[30/12/2010 - 13:20:27 | ASH | 1507954688] 	C:\pagefile.sys
[24/04/2008 - 20:05:56 | D ] 	C:\PNP
[30/12/2010 - 12:31:01 | D ] 	C:\Program Files
[30/12/2010 - 10:42:19 | D ] 	C:\Qoobox
[30/12/2010 - 13:28:34 | SHD ] 	C:\RECYCLER
[19/09/2009 - 15:15:50 | D ] 	C:\Rooter$
[01/11/2009 - 15:44:46 | D ] 	C:\rsit
[14/06/2005 - 10:47:08 | N | 1058] 	C:\SAUDIT.TXT
[21/03/2009 - 14:57:21 | D ] 	C:\SCIENZE
[14/12/2010 - 18:03:25 | SHD ] 	C:\System Volume Information
[30/12/2010 - 13:29:05 | D ] 	C:\UsbFix
[30/12/2010 - 13:29:12 | A | 1514] 	C:\UsbFix.txt
[30/12/2010 - 10:42:19 | D ] 	C:\WINDOWS
[04/08/2009 - 17:04:55 | D ] 	C:\_OTL
[30/12/2010 - 13:28:34 | D ] 	D:\$RECYCLE.BIN
[10/02/2010 - 14:15:25 | D ] 	D:\Commun
[08/08/2010 - 13:12:36 | D ] 	D:\Drivers, clefs,
[31/08/2010 - 16:39:35 | D ] 	D:\Emploi dim sauv
[29/12/2010 - 22:53:57 | D ] 	D:\Films
[24/09/2010 - 16:22:35 | D ] 	D:\livre 2
[10/02/2010 - 13:37:47 | D ] 	D:\Musiques
[09/07/2010 - 15:26:00 | D ] 	D:\Photos
[22/04/2010 - 15:41:22 | D ] 	D:\quizz
[30/12/2010 - 13:28:35 | SHD ] 	D:\RECYCLER
[17/09/2010 - 10:48:53 | D ] 	D:\Sauv écrits Dimi
[08/08/2010 - 13:20:25 | D ] 	D:\sauvegarde dim
[30/07/2010 - 12:59:05 | D ] 	D:\Sauvegardes Dim
[22/12/2010 - 17:54:56 | D ] 	D:\Sauvegardes Dzy
[24/11/2009 - 23:48:45 | D ] 	D:\Seagate
[30/12/2010 - 11:04:14 | SHD ] 	D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_204164880007.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

verni29 · Answer

Re,  

EDIT : Oui, tu peux envoyer le fichier au site précisé dans le rapport.

Fais ces deux manips pour vérifier le PC. 

1/ démarrer --> exécuter --> tape sfc /scannow puis valide. 
Attention à l'espace entre entre le c et le / 
ceci va vérifier les fichiers système sur le PC. 

2/ Même manip mais tape chkdsk /f /r 
Attention également aux espaces. 
Il te sera précisé que le lecteur C: est actuellement utilisé et que la vérification des lecteurs se fera au prochain démarrage. 

Redémarre le PC pour effectuer cette vérification. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

Dézirée · Answer

Ça y est !
j'ai fait les 2 manipulations (grrrrrrrrrr ... c'était long et ça bloque l'ordi !!!!).

Y'a aucun message qui s'affiche ... c'est normal ? y'a un rapport quelque part à poster ?

verni29 · Answer

dézirée, 

Oui, c'est long mais nécessaire.
Vu le DD externe que tu as, il a du mettre pas mal de temps.

-----------------------------------------------

Deux analyses ( assez longues, et Oui ) pour vérifier que le PC est bien propre.
Fais-les, stp.

1/ tu as malwarebytes sur le PC, mets le à jour.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

2/ Fais une analyse sur le site de ESET.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm

Poste le rapport.

A+

En fin de journée.

Dézirée · Answer

Voici le rapport de :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5422

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/12/2010 16:49:14
mbam-log-2010-12-30 (16-49-14).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 237880
Temps écoulé: 1 heure(s), 8 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\application updater\applicationupdater.exe.vir (PUP.Dealio) -> Not selected for removal.
c:\program files\ad-remover\quarantine\C\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\pdfforge toolbar\widgihelper.exe.vir (PUP.Dealio) -> Not selected for removal.
c:\Qoobox\quarantine\C\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll.vir (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP430\A0084205.dll (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP431\A0084296.exe (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP431\A0084301.exe (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP431\A0084305.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070042.rbf (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070045.rbf (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070047.rbf (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070055.old (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070056.old (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070057.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070058.old (PUP.Dealio) -> Not selected for removal.
c:\system volume information\_restore{cf0a9a7f-8dc2-43a2-831c-bc1c2507589b}\RP398\A0070059.old (PUP.Dealio) -> Not selected for removal.

verni29 · Answer

dézirée, 

les infections trouvées par malwarebytes se situent dans les quarantines d'OTL, de ComboFix ou de AD-Remover.
la restauration système est également infectée et on la nettoiera à la fin.

Pour le scan d'ESET, vu le DD externe que tu as, c'est normal.

A+

Dézirée · Answer

eset a terminé.
Voici le rapport :

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=85a328b26ae3404181b886c49acac56c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-12-30 08:59:22
# local_time=2010-12-30 09:59:22 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 94 19871 59206917 18062 0
# compatibility_mode=6401 16777213 66 100 98186 46440081 0 0
# compatibility_mode=8192 67108863 100 0 3763 3763 0 0
# scanned=107869
# found=5
# cleaned=0
# scan_time=17684
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP398\A0070042.rbf	Win32/Adware.Toolbar.Dealio application (impossible de nettoyer)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP398\A0070045.rbf	Win32/Adware.Toolbar.Dealio application (impossible de nettoyer)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP398\A0070055.old	Win32/Adware.Toolbar.Dealio application (impossible de nettoyer)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP398\A0070056.old	Win32/Adware.Toolbar.Dealio application (impossible de nettoyer)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP398\A0070058.old	Win32/Adware.Toolbar.Dealio application (impossible de nettoyer)	00000000000000000000000000000000	I

que dois je faire ?

verni29 · Answer

Re, 

le scan d'ESET a trouvé également des fichiers infectés dans la restauration système.
pas dangereux puisque innofensifs.
mais on va nettoyer tous les points de restauration pour enlever ces infections.

-----------------------------------------------------

On va enlever les outils utilisés.

    * Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    * lance Ad-Remover et USBFix et choisis leur option de désinstallation.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées


---------------------------------------------------------------------------------

On va supprimer les points de restauration infectés et créer un point propre que tu pourras utiliser ultérieurement.


Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.


Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.


Si tu as des questions sur ces manips , n'hésite pas à les poser.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

-------------------------------------------------------------------------------------

Si tu juges que le problème est résolu, note le en cliquant sur Marquer comme résolu, en haut de la page.

Bonne continuation à toi.

Prudence sur Internet.

@+

Dézirée · Answer

Bonjour

Je n'ai pas encore fait tout ce que tu disais dans le post précédent.

Mon ordi a planté ce matin sans aucune raison. Il tournait et puis d'un seul coup il a redémarré. 
J'ai récupéré le message d'erreur de windows. 
"Signature de l'erreur 
BCCODE : 1000000a    
BCP1 :69030203    
BCP2 : 0000001C    
BCP3 : 00000001    
BCP4 : 804e164E    
OSVer : 5_1_2600   
Sp : 3_0   
Product : 256_1"
J'espére que ça te parle.

Du coup, que dois je faire ? suivre la procédure décrite dans le post précédent ou y a t-il d'autres manip à faire avant ?

Merci d'avance

verni29 · Answer

Re, 

Attends un moment avant de faire toutes ces manips, à l'exception des points de restauration que tu peux déjà faire.

A+

verni29 · Answer

Re,  

--------------------------------------------------- 

Signification des codes d'erreurs : 

Code 0x1000000a 

Logiciel : Erreur STOP Windows 
Solution 
Un pilote de périphérique est inadapté ou endommagé.

et 

Code 0x00000001 

Logiciel : Windows Update 
Intitulé : ERROR_INVALID_FUNCTION 

Logiciel : Erreur STOP Windows 
Intitulé : APC_INDEX_MISMATCH 
Solution 
Si vous venez d'installer un composant matériel, désinstallez-le. Redémarrez et installez le à nouveau avec un pilote récent.

Les causes sont diverses : 

# Une application qui agit au niveau du kernel.  
On va devoir utiliser un autre outil pour vérifier une chose ( présence de rootkit mais je n'y crois pas trop ). 

# Un nouveau matériel ou logiciel récemment installé 

# lors de l'insertion d'un CD ou d'un DVD, apparition de ce message 

# utilisation du mode AERO de Vista 

# Au sortir du mode de veille prolongée 

# problème avec le fichier win32k.sys 

ESt-ce que cela est survenu pour une de ces étapes ( même si toutes ne te parlent pas ). 

-------------------------------------------------------------- 

Je voudrais vérifier une chose : 

Relance OTL. 

    * clique sur aucun 
    * Puis sous personnalisation , copie le texte suivant : 

c:\progra~1\FICHIE~1\TEKNUM~1\*.* /s

    * Clique ensuite sur Analyse. 

L'analyse va à peine prendre quelques secondes. 
Un rapport va s'ouvrir. 
Poste le dans ta prochaine réponse. 

------------------------------------------------------------- 

Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse 

A+ 

Allez jusqu'au bout de la procédure de désinfection.

Dézirée · Answer

je vais faire tout ce que tu me dis dès que j'ai un moment. J'attends du monde d'un instant à l'autre et du coup je suis un peu prise.
je te poste tout ça dès que c'est possible. 

Au fait : mon PC a planté une fois y'a 2 / 3 jours avec un message d'erreur que je connais bien IRQL_NOT_LESS_OR_EQUAL. Mon ordi m'a déjà posé problème y'a qqs mois en m'affichant ce message.Il s'agissait d'un problème lié à mon pilote de la carte graphique. Il a fallut le trouver, le reinstaller, .....

Quant à tes questions précédentes : 


# Une application qui agit au niveau du kernel.
On va devoir utiliser un autre outil pour vérifier une chose ( présence de rootkit mais je n'y crois pas trop ).

# Un nouveau matériel ou logiciel récemment installé :  non

# lors de l'insertion d'un CD ou d'un DVD, apparition de ce message non

# utilisation du mode AERO de Vista j'suis sous XP

# Au sortir du mode de veille prolongée non

# problème avec le fichier win32k.sys je ne sais pas ce que c'est 

a+

Désirée

Dézirée · Answer

voici le rapport OTL OTL logfile created on: 31/12/2010 15:52:58 - Run 4 OTL by OldTimer - Version 3.2.18.2 Folder = C:\Documents and Settings\USER\Bureau Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy 959,00 Mb Total Physical Memory | 448,00 Mb Available Physical Memory | 47,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 68,51 Gb Total Space | 15,91 Gb Free Space | 23,23% Space Free | Partition Type: NTFS Computer Name: 204164880007 | User Name: USER | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< c:\progra~1\FICHIE~1\TEKNUM~1\*.* /s >[/color] [2010/05/06 14:19:44 | 000,000,028 | ---- | M] () -- c:\Program Files\Fichiers communs\Teknum Systems\cache_index.dat [2005/06/14 12:30:14 | 000,000,226 | R-S- | M] () -- c:\Program Files\Fichiers communs\Teknum Systems\File Delete Caution.txt [2005/06/14 12:30:14 | 000,104,960 | ---- | M] (Teknum Systems AS) -- c:\Program Files\Fichiers communs\Teknum Systems\InfoViewerV2.ocx [2005/06/14 12:30:14 | 000,014,336 | ---- | M] (Teknum Systems AS) -- c:\Program Files\Fichiers communs\Teknum Systems\SendMail.exe [2005/06/14 12:30:14 | 000,009,728 | ---- | M] (Teknum Systems AS) -- c:\Program Files\Fichiers communs\Teknum Systems shkDrag.dll [2005/06/14 12:30:14 | 000,224,256 | --S- | M] (Teknum Systems) -- c:\Program Files\Fichiers communs\Teknum Systems sSetup.exe [2005/06/14 12:30:14 | 000,071,680 | ---- | M] (Teknum Systems) -- c:\Program Files\Fichiers communs\Teknum Systems sUninst.exe [2010/05/05 20:33:32 | 000,000,164 | ---- | M] () -- c:\Program Files\Fichiers communs\Teknum Systems\update.dat [2005/06/14 12:30:14 | 000,030,208 | --S- | M] (Teknum Systems AS) -- c:\Program Files\Fichiers communs\Teknum Systems\update.exe [2005/06/14 12:30:14 | 000,089,600 | --S- | M] (Teknum Systems AS) -- c:\Program Files\Fichiers communs\Teknum Systems\updsvc.exe [2009/06/26 06:35:33 | 000,000,000 | ---- | M] () -- c:\Program Files\Fichiers communs\Teknum Systems\upgrade.dat < End of report >

verni29 · Answer

Dézirée, 

J'attends du monde d'un instant à l'autre et du coup je suis un peu prise. 
Ah bon ! Il y a quelque chose de spéciale aujourd'hui.
Moi aussi, je vais devoir m'absenter pour le réveillon.

Disons, à l'année prochaine.

A+

Dézirée · Answer

voici le rapport de GMER

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-12-31 15:56:41
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST380013AS rev.3.00
Running: iop6lpvi.exe; Driver: C:\DOCUME~1\USER\LOCALS~1\Temp\pgldqfog.sys


---- System - GMER 1.0.15 ----

SSDT    \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu)  ZwEnumerateKey [0xF6A6C070]
SSDT    \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu)  ZwEnumerateValueKey [0xF6A6C0A0]
SSDT    \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu)  ZwQueryDirectoryFile [0xF6A5EA10]

---- Devices - GMER 1.0.15 ----

Device  \Driver\Tcpip \Device\Ip                                                  OAmon.sys (TDI Helper Driver/Tall Emu)
Device  \Driver\Tcpip \Device\Tcp                                                 OAmon.sys (TDI Helper Driver/Tall Emu)
Device  \Driver\Tcpip \Device\Udp                                                 OAmon.sys (TDI Helper Driver/Tall Emu)
Device  \Driver\Tcpip \Device\RawIp                                               OAmon.sys (TDI Helper Driver/Tall Emu)

---- EOF - GMER 1.0.15 ----

bonne soirée

verni29 · Answer

Bonjour dézirée

et bonne année.

le rapport de gmer ne montre rien. Bon signe.

je viens de lire la discussion sur ton problème de carte graphique.
Il avait fallut réinstaller les drivers de la carte graphique.
Ce qui n'avait pas été simple.

on pourra voir ce problème. Il semblait résolu pourtant.

--------------------------------------------------

1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : c:\Program Files\Fichiers communs\Teknum Systems\updsvc.exe

# Tu cliques ensuite sur envoyer le fichier.
# Copie l'adresse de la page une fois les résultats affichés.

Indique moi le lien de cette page.

2/ J'avais oublié de te dire d'utiliser un outil pour enlever les traces de Norton qu'il reste sur ton C.

télécharge et utilise l'outil suivant :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

A+

Dézirée · Answer

Bonjour  

Bonne année !!  

Voici le lien de Virus total 

http://www.virustotal.com/file-scan/reanalysis.html?id=f7e329aa030a797a7845e6001f9587d0bf46825a696580d8ba9098000423b704-1293897988 

Pour norton aussi c'est réglé.

a+

verni29 · Answer

Re, 

En faisant quelques recherches, 

le message d'erreur IRQL_NOT_LESS_OR_EQUAL est généralement du à un problème de carte graphique.

la réinstallation des drivers est une solution lorsque ces drivers sont absents ou endommagés.

Une autre cause de ces écrans bleus est peut-être  la faible mémoire intégrée à la carte vidéo.
L'utilisation d'Internet actuellement ( vidéos en streaming ), la  retouche d'image, jeux vidéo ... font qu'on sollicite énormément le PC.

Une hypothèse est que la carte graphique sature et te donne ce genre de BSOD ( écran bleu ).

je ne suis pas pour autant un spécialiste de ces questions matérielles.

J'ai bien trouvé une nouvelle version des drivers de la carte graphique mais bon est-ce la solution à ton problème ?
SiS UniVGA3 graphics driver 
https://translate.google.fr/?hl=fr|fr&u=http://www.sis.com/download/

En tout cas, côté virus, le PC est propre.

Tu peux faire les différentes étapes que je t'ai indiqué;

------------------------------------------------------------

Je ne sais pas ce que tu en penses.

Peut-être voir comment se comporte le PC dans les jours à venir ? ( je garde ton sujet dans mes suivis )

A+

Dézirée · Answer

Bonjour verni29, 

Les choses sont moins simples qu'elles ne paraissent. Du moins pour moi qui n'y connais rien.

J'ai du mal à faire la manip pour java.
Lorsque je suis là >>>https://www.java.com/fr/download/manual.jsp dois je d'abord désinstaller les anciennes versions ?

Pour ce qui est de mon problème de carte graphique, il se confirme. Mon ordi a encore planté ce matin ... en plein travail (évidemment) ... 
Je n'ai pas réinstallé le pilot de la carte graphique car après avoir planté il a redémarré normalement. 
Mais les caprices de mon antiquité me font quand même souci.

Que dois je faire ? Mettre un sujet sur le forum matériel ?

Au fait, quel était le problème de mon ordi. Tu m'as dit qu'il était infecté, mais par quoi et pourquoi ? j'ai un antivirus, un pare feu ... n'est ce pas suffisant ?

Merci pour ton aide jusqu'à présent et merci d'avance pour tes conseils et réponses.

A+

verni29 · Answer

Bonjour, dézirée

Pour Java, la logique est de télécharger et d'installer la dernière version.
L'outil JavaRa détectera ensuite les anciennes versions et les supprimera.
ce qui fera un peu de ménage.

-----------------------------------------------------

Le PC a été infecté principalement par des adwares ou publiciels ( searchsettings, pdf forge toolbar )
Ce sont souvent des barres d'outils additionnelles et sont installés lors d'installation de logiciels tiers.
Il faut faire attention lorsque tu installes de nouveaux logiciels.

Il y a avait aussi une infection avec les supports amovibles.
Ce type d'infection s'attrape en utilisant une clé sur un PC déjà infecté.
De ce côté, tu peus être tranquille car on a vacciné les lecteurs et les supports avec USBFix. 
Par contre, tu as du te rendre compte d'un désagrément.
Antivir ouvre régulièrement des pop-ups disant qu' " il a bloque ces fichiers autorun.inf ".


Tu m'as dit qu'il était infecté, mais par quoi et pourquoi ? j'ai un antivirus, un pare feu ... n'est ce pas suffisant ? 

Un antivirus ne fait que réagir à postériori. Il a une base de définitions de virus qui lui permet de reconnaitre certaines infections. Il va donc bloquer ce qu'il connait.
Il détecte également des intrusions à partir de comportements connus.

Mais face à d'autres infections, il ne réagira pas.
Actuellement, il y a une inflation des infections via des pages web infectées.
On va sur un site pour lire un fichier pdf ou visionner une vidéo en ligne et on ne se rend pas qu'on vient de télécharger un fichier.
Ce fichier exploitera si il le peut une faille de sécurité ( non mise à jour de plugins comme java, adobe, .... )

Si ton PC n'est pas protégé par un parefeu ( pour filtrer les entrées/sorties ), ton PC sera alors exposé.

Tu as fait un bon choix de protection.
En étant prudente, tu ne ne devrais pas avoir de problèmes

La première protection, c'est toi-même.

-----------------------------------------------------

Pour ce qui est de mon problème de carte graphique, il se confirme. Mon ordi a encore planté ce matin ... en plein travail (évidemment) ... 

Que dois je faire ? Mettre un sujet sur le forum matériel ? 

Oui, ouvre un post sur le forum matériel.
Attention aux réponses. Fais le tri.

Si c'est la carte vidéo, peut-être la changer.
C'est sans doute ce que j'aurais fait. coût : environ 30 à 40 €

@+

Dézirée · Answer

Merci d'avoir pris le temps de répondre à toutes mes questions.   

Ma carte graphique, je ne peux pas la changer, elle est intégrée à ma carte mère (du moins je crois). Pas de bol. Mais de toute manière je ne compte pas investir dans mon ordi. tant qu'il tient (je touche du bois) .... après un portable serait le bienvenu. :-))) (Vivement qu'il rende l'âme ... hihi)  

Tu vas t'arracher les cheveux (et oui ... je suis une catastrophe) mais ..... j'ai 2 clefs USB. Se pourrait-il qu'elles soient infectées ? Dois je faire quelque chose pour être sûre ?  

Pour ce qui est de ma mise à jour de java, j'ai installé la version 23. Mais là encore .... je n'arrive pas à désinstaller une version ancienne, la MAJ 13. Quand je cherche à la désinstaller un message d'erreur s'affiche (impossible de désinstaller, une erreur irrécupérable c'est produite lors de l'installation).

A+

verni29 · Answer

Dézirée, 

Pour Java, regarde si ce n'est pas possible de la désinstaller via le panneau de configuration et ajout/supp de programmes.

-----------------------------------------------------------

pour les deux clés, utilise USBFix comme dans le message :
https://forums.commentcamarche.net/forum/affich-20339782-ecran-bleu-a-repetition#20

Option recherche dans un premier temps.
poste le rapport.

A+

Dézirée · Answer

Bonsoir, 

La suppression de l'ancienne version de Java ne fonctionne pas par "ajouter/supprimer des programmes". C'est par là que j'ai essayé. 
Mais bon, si ce n'est pas important de supprimer cette version, autant ne pas se prendre la tête. Elle ne me gêne pas (jusqu'à il y a 2 heures je n'étais même pas au courant de son existence).

Passons aux clefs USB. 
J'ai tendance à les promener entre chez moi et mon travail. Comment est ce que je peux être certaine de ne pas me ramener un virus chez moi ? Il n'existerait pas un antivirus qui fonctionne sur les clefs et qui analyse les fichiers qu'on d'y enregistrer ? Ce serait bien pratique.


Ci dessous le rapport de USB Fix.

Merci d'avance 
Dzy

############################## | UsbFix 7.036 | [Recherche]

Utilisateur: USER (Administrateur) # 204164880007 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 20:44:11 | 02/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.56 [Enabled | (!) Outdated]
Firewall: Pare-feu Online Armor 3.5.0.32 [Enabled]
RAM -> 959 Mo 
C:\ (%systemdrive%) -> Disque fixe # 69 Go (19 Go libre(s) - 28%) [HDD] # NTFS
D:\ -> Disque amovible # 973 Mo (747 Mo libre(s) - 77%) [] # FAT
E:\ -> Disque fixe # 2 Go (2 Go libre(s) - 96%) [SNUIPP 26] # FAT
Q:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Vaccin |i

verni29 · Answer

Re, 

Repasse USBFix avec l'option suppression.
cela va justement vacciner les clés, c'est-à-dire les protéger contre une infection possible.

Tu seras tranquille alors pour les utiliser sur n'importe quel PC.

A+

Dézirée · Answer

Me revoilà avec une nouvelle question. ... 
Tiens, ça faisait longtemps. 
Et oui, ... on ne se débarrasse pas de moi aussi facilement !
    Je suppose que je dois procéder à la même manip (USBFix) sur le second ordi de la maison ? 
Je t'assure .. les questions au compte-goute j'fais pas exprès. C'est une seconde nature chez moi. 

Allé bonne soirée et merci d'avance

Dzy

voici le rapport USB fix
############################## | UsbFix 7.036 | [Suppression]

Utilisateur: USER (Administrateur) # 204164880007 [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 22:02:02 | 02/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | (!) Outdated]
Firewall: Pare-feu Online Armor 3.5.0.32 [Enabled]
RAM -> 959 Mo 
C:\ (%systemdrive%) -> Disque fixe # 69 Go (19 Go libre(s) - 28%) [HDD] # NTFS
D:\ -> Disque amovible # 973 Mo (747 Mo libre(s) - 77%) [] # FAT
E:\ -> Disque fixe # 2 Go (2 Go libre(s) - 96%) [SNUIPP 26] # FAT
Q:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1016972401-1987054734-483438715-1005

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Listing |

[03/12/2009 - 20:11:09 | D ] 	C:\83a714b5f067dc996580c223
[22/11/2008 - 16:39:05 | D ] 	C:\Alsyd
[24/04/2008 - 20:05:45 | D ] 	C:\APPS
[30/12/2010 - 13:29:42 | RASHD ] 	C:\Autorun.inf
[08/05/2010 - 13:16:57 | N | 292] 	C:\Boot.bak
[30/12/2010 - 10:35:41 | N | 328] 	C:\BOOT.INI
[05/08/2004 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[30/12/2010 - 10:35:41 | D ] 	C:\cmdcons
[05/08/2004 - 13:00:00 | N | 263488] 	C:\cmldr
[02/01/2011 - 12:00:33 | D ] 	C:\Config.Msi
[09/11/2010 - 16:39:10 | D ] 	C:\data101
[24/04/2008 - 20:06:21 | D ] 	C:\DIVTOOLS
[24/04/2008 - 11:14:33 | D ] 	C:\Documents and Settings
[27/10/2009 - 14:28:09 | D ] 	C:\DRIVERS
[14/06/2005 - 12:13:10 | N | 4174] 	C:\DWNLOG.TXT
[25/05/2010 - 08:53:31 | D ] 	C:\EPSON
[26/12/2009 - 17:41:42 | D ] 	C:\installXP
[03/12/2009 - 22:09:51 | D ] 	C:\INSTALXP
[14/06/2005 - 12:28:39 | N | 0] 	C:\IO.SYS
[16/05/2010 - 17:17:57 | N | 13987] 	C:\JavaRa.log
[24/10/2009 - 17:13:35 | D ] 	C:\Kill'em
[04/06/2008 - 17:20:04 | D ] 	C:\lj1010 series
[06/05/2010 - 14:21:05 | N | 127] 	C:\mbam-error.txt
[14/06/2005 - 12:28:39 | N | 0] 	C:\MSDOS.SYS
[11/05/2010 - 20:03:44 | RD ] 	C:\MSOCache
[11/05/2010 - 20:03:43 | D ] 	C:\MSOCache(2)
[05/08/2004 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[01/06/2008 - 16:12:56 | N | 252240] 	C:\NTLDR
[02/01/2011 - 11:53:40 | ASH | 1507954688] 	C:\pagefile.sys
[24/04/2008 - 20:05:56 | D ] 	C:\PNP
[02/01/2011 - 11:59:28 | D ] 	C:\Program Files
[01/01/2011 - 20:37:07 | D ] 	C:\Qoobox
[02/01/2011 - 22:04:13 | SHD ] 	C:\RECYCLER
[14/06/2005 - 10:47:08 | N | 1058] 	C:\SAUDIT.TXT
[21/03/2009 - 14:57:21 | D ] 	C:\SCIENZE
[31/12/2010 - 16:01:06 | SHD ] 	C:\System Volume Information
[02/01/2011 - 22:04:15 | D ] 	C:\UsbFix
[02/01/2011 - 22:04:15 | A | 1027] 	C:\UsbFix.txt
[30/12/2010 - 13:29:43 | N | 6995] 	C:\UsbFix_Upload_Me_204164880007.zip
[02/01/2011 - 10:13:23 | D ] 	C:\WINDOWS
[04/08/2009 - 17:04:55 | D ] 	C:\_OTL
[30/11/2009 - 22:34:04 | D ] 	D:\Courrir ok
[17/07/2008 - 12:08:36 | N | 7473876] 	D:\Dc10.MOV
[20/09/2010 - 14:13:52 | D ] 	D:	
[20/09/2010 - 14:14:08 | D ] 	D:\s
[09/12/2010 - 20:29:04 | D ] 	D:\pow wow
[01/01/1601 - 01:00:00 | D ] 	D:\RECORD
[09/04/2010 - 15:19:10 | N | 25088] 	D:\CV Général.doc
[09/04/2010 - 13:15:38 | N | 56320] 	D:\CV paysage .doc
[31/10/2008 - 13:13:14 | D ] 	D:\Recycled
[03/08/2009 - 14:58:58 | RASHD ] 	D:\autorun.inf
[25/08/2010 - 11:18:32 | SHD ] 	E:\System Volume Information
[25/08/2010 - 11:17:30 | SHD ] 	E:\Recycled
[30/08/2010 - 11:23:14 | D ] 	E:\CLE PES
[12/11/2010 - 10:23:08 | SHD ] 	E:\$RECYCLE.BIN
[12/11/2010 - 10:23:02 | D ] 	E:\gout
[02/12/2010 - 19:27:34 | N | 5497] 	E:\Gâteau à la châtaigne.odt
[02/12/2010 - 19:26:24 | N | 1025900] 	E:\photos ingrédients.odt
[02/12/2010 - 19:26:08 | N | 1956108] 	E:\photos préparation.odt
[15/12/2010 - 20:55:46 | N | 805629] 	E:\Novembre décembre.odt

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_204164880007.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

verni29 · Answer

Dézirée, 

Si tu as d'autres questions.
Dans la mesure où je pourrais te répondre.

Oui, il faut aussi utiliser USBFix sur l'autre PC.
option recherche pour commencer.

poste le rapport.

On peut également , si tu le veux, faire un diagnostic de l'autre PC.
Avec OTL.

A+

Dézirée · Answer

T'es un ange. Merci 

Évidemment, je veux bien qu'on vérifie l'autre ordi aussi. 
Mais pas aujourd'hui. Le travail reprend et je me lève tôt. 
Je commence par quoi? (au fait, juste au cas où ça changerait quelque chose : il est sous seven).

Je serai moins dispo que ces derniers jours donc ne t'étonnes pas si tu n'as pas de réponse dans la journée. Tu seras par là mercredi ? 

Bonne soirée

verni29 · Answer

Re, 

Le travail reprend pour moi aussi.
Je serais dispo en soirée donc je crois que cela tombe bien.

Et il n'y a pas d'urgence.

Pour seven, aucun problème, OTL est compatible 32 et 64 bits.

A+

verni29 · Answer

Dézirée, 

Donc, pour l'autre PC, dans l'ordre :
- OTL : https://forums.commentcamarche.net/forum/affich-20339782-ecran-bleu-a-repetition#13
- USBFIX : https://forums.commentcamarche.net/forum/affich-20339782-ecran-bleu-a-repetition#20

A+

verni29 · Answer

Dézirée, 

Oui, c'est le même texte.
Ceci permet de cibler des fichiers et des dossiers particuliers.

A+

Dézirée · Answer

Bonjour,  

Je fais un petit détour sur le forum de ccm pour te déposer les deux fichiers de OTL. 

http://www.cijoint.fr/cjlink.php?file=cj201101/cij8cOqVeH.txt 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijxLEj7Ds.txt 

et le rapport de USB Fix 

Bonne lecture. 

Merci d'avance  

############################## | UsbFix 7.037 | [Recherche]

Utilisateur: DzyDim (Administrateur) # PC-DE-DZYDIM [FUJITSU SIEMENS AMILO Pi 3625]
Mis à jour le 10/01/2011 par El Desaparecido / C_XX
Lancé à 20:41:47 | 12/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3033 Mo 
C:\ (%systemdrive%) -> Disque fixe # 192 Go (130 Go libre(s) - 68%) [System] # NTFS
D:\ -> Disque fixe # 97 Go (97 Go libre(s) - 100%) [Data] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


Présent! C:	mp

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

verni29 · Answer

Bonsoir, dézirée 

Relance USBFix et choisis suppression. 
Poste le rapport. 

---------------------------- 

Je regarde les rapports d'OTL 

Edit : les rapports d'OTL sont propres .
pas de trace d'infection.
Pas de logiciels douteux d'installés.

Rien à redire ( excepté pour les mises à jour mais on verra cela ensuite ).

fais un scan en ligne avec ESET
tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Poste le rapport si infection.

A+ 
Allez jusqu'au bout de la procédure de désinfection.

Dézirée · Answer

Bonsoir, 

Voici le rapport de USB FIX

############################## | UsbFix 7.037 | [Suppression]

Utilisateur: DzyDim (Administrateur) # PC-DE-DZYDIM [FUJITSU SIEMENS AMILO Pi 3625]
Mis à jour le 10/01/2011 par El Desaparecido / C_XX
Lancé à 21:27:26 | 13/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3033 Mo 
C:\ (%systemdrive%) -> Disque fixe # 192 Go (130 Go libre(s) - 68%) [System] # NTFS
D:\ -> Disque fixe # 97 Go (97 Go libre(s) - 100%) [Data] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2036552447-4063199363-748830710-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2614259963-459268306-4257737374-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2614259963-459268306-4257737374-1000
Supprimé! C:	mp

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[09/08/2010 - 00:28:07 | D ] 	C:\$INPLACE.~TR
[13/01/2011 - 21:28:54 | SHD ] 	C:\$Recycle.Bin
[08/08/2010 - 15:13:29 | D ] 	C:\$WINDOWS.~Q
[10/06/2009 - 22:42:20 | N | 24] 	C:\autoexec.bat
[09/08/2010 - 00:44:41 | D ] 	C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] 	C:\bootmgr
[09/08/2010 - 00:44:45 | N | 8192] 	C:\BOOTSECT.BAK
[10/06/2009 - 22:42:20 | N | 10] 	C:\config.sys
[14/07/2009 - 05:53:55 | SHD ] 	C:\Documents and Settings
[15/08/2008 - 02:58:20 | D ] 	C:\DRIVER
[25/01/2010 - 05:44:34 | N | 9] 	C:\DVD.TAG
[24/01/2010 - 21:05:28 | D ] 	C:\ebay
[24/01/2010 - 21:06:11 | D ] 	C:\Google
[13/01/2011 - 21:22:05 | ASH | 2385174528] 	C:\hiberfil.sys
[03/03/2010 - 08:14:34 | N | 0] 	C:\IO.SYS
[08/08/2010 - 15:28:28 | N | 66] 	C:\lang.txt
[15/08/2008 - 02:58:20 | D ] 	C:\MANUAL
[03/03/2010 - 08:14:34 | N | 0] 	C:\MSDOS.SYS
[20/06/2010 - 18:14:24 | RHD ] 	C:\MSOCache
[15/08/2008 - 03:06:33 | D ] 	C:\Nero
[24/01/2010 - 21:07:34 | D ] 	C:\NVC
[24/01/2010 - 21:07:39 | D ] 	C:\Off2007HStTrial
[24/01/2010 - 21:07:49 | D ] 	C:\Offres ADSL Neuf
[13/01/2011 - 21:22:18 | ASH | 3180232704] 	C:\pagefile.sys
[14/07/2009 - 03:37:05 | D ] 	C:\PerfLogs
[14/08/2008 - 10:45:46 | N | 1390] 	C:\Prodlog.txt
[05/12/2010 - 22:21:08 | D ] 	C:\Program Files
[05/12/2010 - 21:59:42 | HD ] 	C:\ProgramData
[08/08/2010 - 15:28:27 | SHD ] 	C:\Recovery
[13/01/2011 - 15:02:06 | SHD ] 	C:\System Volume Information
[13/01/2011 - 21:28:54 | D ] 	C:\UsbFix
[13/01/2011 - 21:27:27 | A | 2603] 	C:\UsbFix.txt
[08/08/2010 - 15:06:26 | D ] 	C:\Users
[15/09/2010 - 21:17:57 | D ] 	C:\Windows
[14/08/2008 - 10:44:55 | D ] 	C:\Works
[13/01/2011 - 21:28:54 | SHD ] 	D:\$RECYCLE.BIN
[24/01/2010 - 19:49:23 | SHD ] 	D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-DZYDIM.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

a+

verni29 · Answer

dézirée, 

Peux-tu suivre cette recommendation ?

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-DZYDIM.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution. 
Merci.

---------------------------------------------

USBFix a vacciné le PC.

Il te reste le scan en ligne.

A+

Dézirée · Answer

Salut,

j'ai envoyé le fichier.
Pour eset RAS !
Youpi.

Alors maintenant les mises à jour, non ? Tu y a fais allusion dans un post un peu plus haut. Qu'est ce qui ne va pas?

a+

verni29 · Answer

Re, 

Alors maintenant les mises à jour, non ? Tu y a fais allusion dans un post un peu plus haut. Qu'est ce qui ne va pas? 
C'était , de ma part, une manière de te sensibiliser aux mises à jour du PC qui doivent se faire régulièrement.
En fait, beaucoup d'infections exploitent des failles de sécurité liées aux pages qu'on peut visionner sur le net : java, fichiers pdf , vidéos, ...

Pour java, on en est à la version 23.
Tu peux télécharger la dernière version en ligne et supprimer ( dans le panneau de configuration --> programmes et fonctionnalités la version 22 installée sur le PC ).
https://www.java.com/fr/download/
pense - y régulièrement.

Pour adobe, tu as la dernière version, la 9.4.
Il est possible de télécharger le dernière version, Adobe Reader X, plus sécurisé.
https://get2.adobe.com/fr/reader/otherversions/
Désinstalle la précédente dans ce cas.

---------------------------------------
Un site intéressant pour garder à jour ses plugins ( il faut un peu comprendre l'anglais ) :
https://www.flexera.com/products/operations/software-vulnerability-management.html

----------------------------------------

On termine ensuite.

Comment cela se passe pour l'autre PC ?
As-tu encore ces problèmes de d'écran bleu ?

A+

Dézirée · Answer

Je vais essayer de faire tout ça ce week end. 
Merci.

Il n'est pas évident de se tenir au fait des mises à jour. C'est tellement peu passionnant comme passe temps (pour ne pas dire autre chose :)) que je suis même étonné que Java n'en propose pas une qui soit automatique.

Pour ce qui est de mon premier ordi, ça ne s'arrange pas. Mais pas du tout. Hier il a redémarré en 2002  !!. Du coup j'ai mis un message dans le forum matériel. J'ai eu quelques réponses mais je n'ai pas encore donné suite. Faire toutes ces manips quand on n'en a pas l'habitude demande pas mal de temps. De plus, il n'est pas facile de faire le tri dans les conseils donnés. En n'étant pas assez prudente j'ai déjà une fois écrasé tout ce qui était sur mon disque. Donc maintenant, .... prudence. 

Je ne voudrais pas abuser de ta gentillesse mais est ce que je pourrais te faire vérifier un 3ème ordi (celui de mon lieu de travail), STP. Comme ça au moins je suis sûre que partout où je travailles les ordi sont clean.

Bonne soirée

Merci pour ton aide et pour toutes ces explications.

verni29 · Answer

Re, 

Jamais deux sans trois. lol

cela ne pose pas de problème de faire ces vérifs au boulot ?
Ou bien, c'est un portable que tu as à disposition ?

A+

verni29 · Answer

Bonjour, alexis984

Je ne vois pas le rapport entre ta réponse et la discussion actuelle.

;-)

@+

verni29 · Answer

Dézirée, 

895,00 Mb Total Physical Memory | 271,00 Mb Available Physical Memory | 30,00% Memory free
1 Go pour faire tourner vista, c'est bien juste.
Pas trop lent le PC ?

Je vois que vous n'avez pas installé énormément de logiciels sur le PC.
Tu peux tout de même désinstaller : Yahoo! Toolbar

On verra ensuite pour des outils de remplacement pour adobe en particulier.

----------------------------

1/ un peu de nettoyage sur le PC .

Relance OTL.exe.   

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found.
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-2293415640-181203749-1773559774-1000..\Run: [????r]  File not found
O4 - HKU\S-1-5-21-2293415640-181203749-1773559774-1000..\Run: [?????????]  File not found
@Alternate Data Stream - 752 bytes -> C:\Users\ecole\Documents\cantine.eml:OECustomProperty

:Commands 
[EMPTYTEMP] 
[EMPTYFLASH]

*  Puis clique sur le bouton Correction en haut de la fenêtre.   
 * Laisse le programme travailler, le PC va redémarrer.   

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).    
sauvegarde-le sur ton Bureau et poste-le après redémarrage.   

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles   
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log   

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

Dézirée · Answer

Bonjour, 

voici le rapport de OTL:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}\ not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\WindowsWelcomeCenter deleted successfully.
File move failed. C:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\WindowsWelcomeCenter deleted successfully.
File move failed. C:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-2293415640-181203749-1773559774-1000\Software\Microsoft\Windows\CurrentVersion\Run\????r not found.
Registry value HKEY_USERS\S-1-5-21-2293415640-181203749-1773559774-1000\Software\Microsoft\Windows\CurrentVersion\Run\????????? not found.
ADS C:\Users\ecole\Documents\cantine.eml:OECustomProperty deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]

 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ecole
->Temp folder emptied: 13474393 bytes
->Temporary Internet Files folder emptied: 50449837 bytes
->Java cache emptied: 38014902 bytes
->FireFox cache emptied: 108825818 bytes
->Flash cache emptied: 40370 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1301279 bytes
RecycleBin emptied: 1246744120 bytes
 
Total Files Cleaned = 1 391,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: ecole
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.20.2 log created on 01182011_081851

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.

Registry entries deleted on Reboot...

verni29 · Answer

Re, 

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

Dézirée · Answer

Et voila c'est fait.


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5544

Windows 6.0.6000
Internet Explorer 7.0.6000.16386

18/01/2011 12:11:05
mbam-log-2011-01-18 (12-11-05).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 188159
Temps écoulé: 30 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

verni29 · Answer

Dézirée, 

1/ Il y a deux clés de la base de registre qu'on n'a pas pu supprimé.
il y a en effet des caractères qui ne passent pas sur le forum et du coup, la suppression avec OTL n'a pas marché.

Le plus simple est de télécharger un logiciel ( on les désinstallera de toute manière ).

Télécharge Hijackthis sur ton bureau :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

# Ouvre le et clique sur Scan and save a logfile.
# Un rapport va s'ouvrir.
# poste le dans ton prochain message.

2/ Il ne semble pas y avoir de problèmes avec les supports amovibles.
Tu vas tout de même utiliser USBFix .
Ceci permettra de vacciner le PC et donc de le protéger si quelqu'un un jour utilise sa clé et que celle-ci est infecté.

https://forums.commentcamarche.net/forum/affich-20339782-ecran-bleu-a-repetition#20

Poste le rapport.

A+

Dézirée · Answer

voici le rapport : 
bonne lecture et à jeudi !


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:13, on 18/01/2011
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\ecole\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix: 
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Dézirée · Answer

et voici celui de USB Fix
############################## | UsbFix 7.038 | [Recherche]

Utilisateur: ecole (Administrateur) # PC-ACER [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 17:17:04 | 18/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6000 32-Bit) # 
Internet Explorer 7.0.6000.16386

Pare-feu Windows: Activé
Antivirus: Symantec AntiVirus 10.2.0.276 [Enabled | Updated]
RAM -> 895 Mo 
C:\ (%systemdrive%) -> Disque fixe # 71 Go (46 Go libre(s) - 64%) [ACER] # NTFS
D:\ -> Disque fixe # 71 Go (67 Go libre(s) - 94%) [DATA] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

verni29 · Answer

Re, 

1/ Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKCU\..\Run: [?????????] ??????????????e 
Tu choisis l'option " Fixchecked" en bas de la page.

Ferme hijackthis.

2/ Relance USBFix et choisis Vacciner.

3/ dans le panneau de configuration --> programmes et fonctionnalités 

Désinstalle Les versions anciennes de Java ( Java(TM) 6 Update 7 et 20 ).
Puis mets à jour java sur le site de l'éditeur :
https://www.java.com/fr/download/manual.jsp

4/ Adobe est un logiciel gourmand en place et mémoire.
Tu peux utiliser un produit libre comme sumatra ou foxit pluq léger.

Foxit : ( Attention à ne pas installer Ask Toolbar ).
https://www.01net.com/telecharger/windows/Bureautique/editeur_de_texte/fiches/32919.html

Sumatra : https://framalibre.org

Une source de petits logiciels libres : https://framalibre.org

Une question : Norton, c'est l'antivirus préconisé par les institutions ou c'est un abonnement payant ?

On termine ensuite.

A+

Dézirée · Answer

Bonjour, 

Ça y est, le plus gros est fait. 

Sauf pour Abode. Je vais le laisser en place. Je préfère. 
Pour ce qui est de l'antivirus, je vais voir ce que je peux trouver comme information. Dès que je sais je te dis. 

Je vais essayer de faire un peu de vide sur l'ordi ça lui fera du bien.

A+

Dézirée · Answer

ah au fait ...
tu disais dans un message précédent qu'il n'y avait pas beaucoup de place sur l'ordi pour faire tourner le système d'exploitation. 

Je ne comprends pas trop car j'ai été voir la place qu'il me reste sur mon DD. Sous C: il me reste 44 Go de libres et sous D: 66 go. 

Mon ordi est loin d'être plein, non ? Il devrais tourner correctement. 

Ou bien s'agit-il de la mémoire vive qui serait insuffisante ? Au quel cas que dois je faire ?

Merci d'avance

verni29 · Answer

Dézirée, 

Ce que je te disais :

895,00 Mb Total Physical Memory | 271,00 Mb Available Physical Memory | 30,00% Memory free


1 Go pour faire tourner vista, c'est bien juste.
Pas trop lent le PC ? 
Pour la mémoire, si vous pouviez en rajouter, ce serait plus confortable.

----------------------------------------

Pour connaitre le type de matériel et de mémoire en particulier, tu peux installer des logiciels comme sisandra ou everest :

http://www.clubic.com/telecharger-fiche12281-everest-ultimate.html

Clique sur ordinateur puis résumé, tu devrais avoir des infos sur le type de mémoire présente dans le PC.

Après, le plus simple peut être, si vous voulez ajouter de la mémoire, d'aller avec la machine dans un magasin spécialisé et de demander au technicien d'identifier la mémoire.

On termine ensuite.

A+

Dézirée · Answer

Oui, on termine. 

Merci pour ton aide et ta patience. 
A une prochaine peut-être.

écran bleu à répétition

67 réponses

Discussions similaires