Ecran noire & Bleu ScreenRésolu/Fermé

Question

Bonjour, 

il y a 5 minutes mon ordinateur a fait un bleu screen et a redémarré. Mais après le message "Bienvenue" il affiche que un écran noire avec la sourie. Donc je l'ai redémarré en mode sans échec avec une restauration système mais toujours pareil. Donc pendant qu'il était a l'écran noire j'ai attendu bien 1 minutes, et la il m'a tous affiché. Sauf 5sec plus tard bleu screen et c'est pareil...

Donc j'ai fait une analyse antivirus (en mode sans échec avec Malwarbytes), il ma trouver 4 trojans (qu'il a supprimer), sauf quand j'ai cliquer sur redémarrer, encore un bleu screen. Je l'ai rallumer mais toujours ce fameux écran noire.

Quelle est la meilleur des solutions ?


Merci.

Configuration: Windows 7 / Firefox 3.6.16

juju666 · Answer

salut

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau  
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit  
dessus, et sur exécuter en tant qu'administrateur)  
&#9654 Clique sur Start Scan  
&#9654 Si l'outil a trouvé des éléments, choisi Cure,   
puis sur Reboot Now  
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir  
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer  
N° de version_Date_Heure_log.txt)

Utilisateur anonyme · Answer

Bonjour,


Bon déjà quand je l'ai démarré j'ai eux l'écran noire mais aucun bleu screen donc j'ai pu faire se que tu ma dit : sauf il me détecte rien.

Donc je vais le redemander voir si il me refait ou pas. Je vous tien au courant.


Merci.

Utilisateur anonyme · Answer

Donc a la fin de l'arrêt de l'ordinateur un bleu screen (de 2sec) et redémarrage automatique. Quand il se rallume un message d'erreur (qu'il a mal était arrêter). Quand on arrive sur le message "bienvenue" cela met bien 50 secondes, et après encore l'écran noire avec la sourie pendant environ 1minutes 15.

juju666 · Answer

&#9654 Télécharge Blue screen View :

ouvre ce lien http://www.nirsoft.net/utils/blue_screen_view.html

&#9654 Clique sur Download BlueScreenView with full install/uninstall support

&#9654 Enregistre le fichier sur ton Bureau.

&#9654 Clic droit sur l'exe choisir Executer en tant qu'administrateur pour le lancer.

&#9654 A la fin du scan, , clique sur Edit puis Select All.
&#9654 Puis : File et Save Selected Items.

&#9654 Sauve le rapport sous BSOD.txt.

&#9654 Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.

Utilisateur anonyme · Answer

==================================================
Dump File         : Mini041711-01.dmp
Crash Time        : 17/04/2011 00:09:35
Bug Check String  : INTERNAL_POWER_ERROR
Bug Check Code    : 0x000000a0
Parameter 1       : 0x00000001
Parameter 2       : 0x00000006
Parameter 3       : 0x852c67f8
Parameter 4       : 0x00000000
Caused By Driver  : ntkrnlpa.exe
Caused By Address : ntkrnlpa.exe+cdb3f
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company           : Microsoft Corporation
File Version      : 6.0.6002.18327 (vistasp2_gdr.101014-0432)
Processor         : 32-bit
Computer Name     : 
Full Path         : C:\Windows\Minidump\Mini041711-01.dmp
Processors Count  : 1
Major Version     : 15
Minor Version     : 6002
Dump File Size    : 193 592
==================================================

==================================================
Dump File         : Mini041611-03.dmp
Crash Time        : 16/04/2011 23:54:37
Bug Check String  : INTERNAL_POWER_ERROR
Bug Check Code    : 0x000000a0
Parameter 1       : 0x00000001
Parameter 2       : 0x00000006
Parameter 3       : 0x852de448
Parameter 4       : 0x00000000
Caused By Driver  : ntkrnlpa.exe
Caused By Address : ntkrnlpa.exe+cdb3f
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company           : Microsoft Corporation
File Version      : 6.0.6002.18327 (vistasp2_gdr.101014-0432)
Processor         : 32-bit
Computer Name     : 
Full Path         : C:\Windows\Minidump\Mini041611-03.dmp
Processors Count  : 1
Major Version     : 15
Minor Version     : 6002
Dump File Size    : 134 608
==================================================

==================================================
Dump File         : Mini041611-02.dmp
Crash Time        : 16/04/2011 23:12:20
Bug Check String  : INTERNAL_POWER_ERROR
Bug Check Code    : 0x000000a0
Parameter 1       : 0x00000001
Parameter 2       : 0x00000006
Parameter 3       : 0x857ef3d8
Parameter 4       : 0x00000000
Caused By Driver  : ntkrnlpa.exe
Caused By Address : ntkrnlpa.exe+cdb3f
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company           : Microsoft Corporation
File Version      : 6.0.6002.18327 (vistasp2_gdr.101014-0432)
Processor         : 32-bit
Computer Name     : 
Full Path         : C:\Windows\Minidump\Mini041611-02.dmp
Processors Count  : 1
Major Version     : 15
Minor Version     : 6002
Dump File Size    : 193 592
==================================================

==================================================
Dump File         : Mini041611-01.dmp
Crash Time        : 16/04/2011 23:06:44
Bug Check String  : INTERNAL_POWER_ERROR
Bug Check Code    : 0x000000a0
Parameter 1       : 0x00000001
Parameter 2       : 0x00000006
Parameter 3       : 0x852d94c8
Parameter 4       : 0x00000000
Caused By Driver  : ntkrnlpa.exe
Caused By Address : ntkrnlpa.exe+cdb3f
File Description  : NT Kernel & System
Product Name      : Microsoft® Windows® Operating System
Company           : Microsoft Corporation
File Version      : 6.0.6002.18327 (vistasp2_gdr.101014-0432)
Processor         : 32-bit
Computer Name     : 
Full Path         : C:\Windows\Minidump\Mini041611-01.dmp
Processors Count  : 1
Major Version     : 15
Minor Version     : 6002
Dump File Size    : 134 608
==================================================

juju666 · Answer

en attente du dernier rapport mbam que tu as effectué (mbam->rapports/logs)

Utilisateur anonyme · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4465

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 9.0.8112.16421

16/04/2011 23:53:16
mbam-log-2011-04-16 (23-53-16).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 266937
Temps écoulé: 38 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{0d82acd6-a652-4496-a298-2bde705f4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025e484-d4b0-441a-9f0b-69063bd679ce} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258b35c-05b8-4c0e-9525-9bccc70f8f2d} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a89256ad-ec17-4a83-bef5-4b8bc4f39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

mbam pas à jour

================

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Utilisateur anonyme · Answer

Pour Malwarebytes, désolé si il n'était pas a jour, mais normalement j'utilise BitDefender pour faire des analyse. Mais comme j'étais en mode sans échec, BitDefender ne se lancer pas donc j'ai utiliser ceci.


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 00:33:49 le 17/04/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique  Service Pack 2 (X86) 
Mathieu@PC-DE-MATHIEU (Acer Aspire M1201) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Program Files\Mozilla FireFox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
Dossier trouvé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\conduit
Dossier trouvé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\ConduitEngine
Dossier trouvé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\extensions\engine@conduit.com

-- Fichier ouvert: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\Prefs.js --
Ligne trouvée: user_pref("CommunityToolbar.CantToolbarBeEngineOwner", "CT2742489"); 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2742489", ... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.2... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2742489",... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2742489/CT2742489... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/equalizer_... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/maxi.gif",... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/minimize.g... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/play.gif",... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/play_mini.... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/stop.gif",... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/vol.gif", ... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/15846407.xml", "\"4c410877250d9b016a3... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16190898.xml", "\"94427cb90dd415d6ec3... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16727535.xml", "\"bc1121019d7bf83699a... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/17461978.xml", "\"3e567c940405b8a0cd4... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/18676177.xml", "\"cbe1f0cfc133c279a47... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/19058681.xml", "\"8440e31b8e5ea2fd230... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/19554706.xml", "\"9e3c48b25dee4197b79... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/21324258.xml", "\"d2f998d6383523b3aa4... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/21879024.xml", "\"265fb57d16f8f17ef29... 
Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/2883841.xml", "\"7abd9d0aab9f190922f7... 
Ligne trouvée: user_pref("CommunityToolbar.EngineHiddenByUser", true); 
Ligne trouvée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine"); 
Ligne trouvée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com"); 
Ligne trouvée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine"); 
Ligne trouvée: user_pref("CommunityToolbar.IsEngineShown", false); 
Ligne trouvée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); 
Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine"); 
Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com"); 
Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine"); 
Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Mar 20 2011 19:50:06 GMT+01... 
Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); 
Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Apr 16 2011 19:13:37 GMT+0200"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.locale", "en"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); 
Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat Apr 16 2011 19:13:20 GMT+0200"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1291048634"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); 
Ligne trouvée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); 
Ligne trouvée: user_pref("CommunityToolbar.alert.showTrayIcon", false); 
Ligne trouvée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); 
Ligne trouvée: user_pref("CommunityToolbar.alert.userId", "ad45e114-7b94-47f0-81f9-3a4c7470aade"); 
Ligne trouvée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sun Mar 20 2011 19:50:20 GMT+0100"); 
Ligne trouvée: user_pref("CommunityToolbar.globalUserId", "5f144233-249d-4b80-888f-70a9367d9e7c"); 
Ligne trouvée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); 
Ligne trouvée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_15846407.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_16190898.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_16727535.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_17461978.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_18676177.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_19058681.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_19554706.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_21324258.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_21879024.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne trouvée: user_pref("CommunityToolbar.twitter.user_2883841.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100"... 
Ligne trouvée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Sun Apr 10 2011 17:17:24 GMT+0200"); 
Ligne trouvée: user_pref("ConduitEngine.CTID", "ConduitEngine"); 
Ligne trouvée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.FirstServerDate", "03/20/2011 20"); 
Ligne trouvée: user_pref("ConduitEngine.FirstTime", true); 
Ligne trouvée: user_pref("ConduitEngine.FirstTimeFF3", true); 
Ligne trouvée: user_pref("ConduitEngine.HasUserGlobalKeys", true); 
Ligne trouvée: user_pref("ConduitEngine.Initialize", true); 
Ligne trouvée: user_pref("ConduitEngine.InitializeCommonPrefs", true); 
Ligne trouvée: user_pref("ConduitEngine.InstalledDate", "Sun Mar 20 2011 19:50:08 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.IsMulticommunity", false); 
Ligne trouvée: user_pref("ConduitEngine.IsOpenThankYouPage", false); 
Ligne trouvée: user_pref("ConduitEngine.IsOpenUninstallPage", true); 
Ligne trouvée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.LastLogin_3.3.2.1", "Sun Mar 20 2011 19:50:08 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); 
Ligne trouvée: user_pref("ConduitEngine.SettingsLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.UserID", "UN97953440114900939"); 
Ligne trouvée: user_pref("ConduitEngine.componentAlertEnabled", false); 
Ligne trouvée: user_pref("ConduitEngine.engineLocale", "fr"); 
Ligne trouvée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne trouvée: user_pref("ConduitEngine.initDone", true); 
Ligne trouvée: user_pref("ConduitEngine.isAppTrackingManagerOn", true); 
Ligne trouvée: user_pref("ConduitEngine.usagesFlag", 1); 
-- Fichier Fermé --
 

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ResultBar


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
Extensions - "{34EFA911-B536-4C08-BECE-CD5E55C875B0}" (?)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

-- C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default --
Extensions\engine@conduit.com (Conduit Engine )
Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} (ChatZilla)
Extensions\{ce951a80-a291-11df-981c-0800200c9a66} (SmallringFX DARKMagenta)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Prefs.js - browser.download.lastDir, C:\Users\Mathieu\Desktop
Prefs.js - browser.search.selectedEngine, Admirable Studio Customized Web Search
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_Toolbar|{381FFDE8-2394-4f90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2010\about.exe\about.ex (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE7} - WindowsFolder\hh.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 17/04/2011 00:33:54 (12762 Octet(s)) 

Fin à: 00:34:35, 17/04/2011 
 
============== E.O.F ==============

juju666 · Answer

on avance :)

relance ad-remover clique sur nettoyer
accepte le redémarrage et à ton retour j attends le rapport c:\ad-report[clean]1

Utilisateur anonyme · Answer

Des que j'ai cliquer sur redémarrer (avec le logiciel), BitDenfender ma trouver un virus, mais j'ai pas eux le temps de lire quoi que se soit.
Sinon pareil, a la fin du redémarrage -> Bleu Screen, toujours l'écran noire et le problème du message "bienvenue".

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:39:44 le 17/04/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique  Service Pack 2 (X86) 
Mathieu@PC-DE-MATHIEU (Acer Aspire M1201) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Mozilla FireFox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
Dossier supprimé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\conduit
Dossier supprimé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\ConduitEngine
Dossier supprimé: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\extensions\engine@conduit.com

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default\Prefs.js --
Ligne supprimée: user_pref("CommunityToolbar.CantToolbarBeEngineOwner", "CT2742489"); 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2742489", ... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.2... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2742489",... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2742489/CT2742489... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/equalizer_... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/maxi.gif",... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/minimize.g... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/play.gif",... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/play_mini.... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/stop.gif",... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Pumpkin/vol.gif", ... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/15846407.xml", "\"4c410877250d9b016a3... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16190898.xml", "\"94427cb90dd415d6ec3... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16727535.xml", "\"bc1121019d7bf83699a... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/17461978.xml", "\"3e567c940405b8a0cd4... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/18676177.xml", "\"cbe1f0cfc133c279a47... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/19058681.xml", "\"8440e31b8e5ea2fd230... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/19554706.xml", "\"9e3c48b25dee4197b79... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/21324258.xml", "\"d2f998d6383523b3aa4... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/21879024.xml", "\"265fb57d16f8f17ef29... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/2883841.xml", "\"7abd9d0aab9f190922f7... 
Ligne supprimée: user_pref("CommunityToolbar.EngineHiddenByUser", true); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine"); 
Ligne supprimée: user_pref("CommunityToolbar.IsEngineShown", false); 
Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine"); 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Mar 20 2011 19:50:06 GMT+01... 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Apr 16 2011 19:13:37 GMT+0200"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat Apr 16 2011 19:13:20 GMT+0200"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1291048634"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); 
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "ad45e114-7b94-47f0-81f9-3a4c7470aade"); 
Ligne supprimée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sun Mar 20 2011 19:50:20 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.globalUserId", "5f144233-249d-4b80-888f-70a9367d9e7c"); 
Ligne supprimée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); 
Ligne supprimée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_15846407.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_16190898.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_16727535.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_17461978.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_18676177.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_19058681.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_19554706.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_21324258.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_21879024.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100... 
Ligne supprimée: user_pref("CommunityToolbar.twitter.user_2883841.LastCheckTime", "Sun Mar 20 2011 19:50:22 GMT+0100"... 
Ligne supprimée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Sun Apr 10 2011 17:17:24 GMT+0200"); 
Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine"); 
Ligne supprimée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.FirstServerDate", "03/20/2011 20"); 
Ligne supprimée: user_pref("ConduitEngine.FirstTime", true); 
Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true); 
Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true); 
Ligne supprimée: user_pref("ConduitEngine.Initialize", true); 
Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true); 
Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Sun Mar 20 2011 19:50:08 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", true); 
Ligne supprimée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.3.2.1", "Sun Mar 20 2011 19:50:08 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); 
Ligne supprimée: user_pref("ConduitEngine.SettingsLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.UserID", "UN97953440114900939"); 
Ligne supprimée: user_pref("ConduitEngine.componentAlertEnabled", false); 
Ligne supprimée: user_pref("ConduitEngine.engineLocale", "fr"); 
Ligne supprimée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sun Mar 20 2011 19:50:07 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.initDone", true); 
Ligne supprimée: user_pref("ConduitEngine.isAppTrackingManagerOn", true); 
Ligne supprimée: user_pref("ConduitEngine.usagesFlag", 1); 
-- Fichier Fermé --
 

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ResultBar


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

-- C:\Users\Mathieu\AppData\Roaming\Mozilla\FireFox\Profiles
u2uz43m.default --
Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} (ChatZilla)
Extensions\{ce951a80-a291-11df-981c-0800200c9a66} (SmallringFX DARKMagenta)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Prefs.js - browser.download.lastDir, C:\Users\Mathieu\Desktop
Prefs.js - browser.search.selectedEngine, Admirable Studio Customized Web Search
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_Toolbar|{381FFDE8-2394-4f90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2010\about.exe\about.ex (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47fd-8BE1-6B49F4197BE7} - WindowsFolder\hh.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 112 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/04/2011 00:39:49 (13284 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 17/04/2011 00:33:54 (12901 Octet(s)) 

Fin à: 00:41:03, 17/04/2011 
 
============== E.O.F ==============

juju666 · Answer

poste moi le rapport de bitdefender stp

juju666 · Answer

on fera sans....

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

http://ww38.toofiles.com/fr/oip/documents/txt/8502_zhpdiag.html

juju666 · Answer

j'en étais sur ...

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   

ceci montre la présence d'un rootkit tdss ==> tes écrans bleu/noir

il me faudrait pour commencer le premier rapport de tdss killer stp.

================================

refais tdss killer en mode sans échec ?

juju666 · Answer

hello,

ok on passe à la taille supérieure si c'est ainsi :

Attention, avant de commencer, lit attentivement la procédure, et imprime la  


Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

&#9654 Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

Utilisateur anonyme · Answer

ComboFix 11-04-16.01 - Mathieu 17/04/2011  11:36:04.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.1790.1010 [GMT 2:00]
Lancé depuis: c:\users\Mathieu\Desktop\matmatdu61.exe
AV: BitDefender Antivirus *Enabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
SP: BitDefender Antispyware *Enabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
D:\install.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-17 au 2011-04-17  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-17 09:46 . 2011-04-17 09:46	--------	d-----w-	c:\users\Mathieu\AppData\Local	emp
2011-04-17 09:46 . 2011-04-17 09:46	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-04-16 23:05 . 2011-04-16 23:05	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-04-16 23:02 . 2011-04-16 23:05	--------	d-----w-	c:\program files\ZHPDiag
2011-04-16 22:37 . 2011-04-16 22:37	709456	----a-w-	c:\windows\is-8VORO.exe
2011-04-16 22:33 . 2011-04-16 22:33	--------	d-----w-	c:\program files\Ad-Remover
2011-04-16 22:18 . 2011-04-16 22:18	--------	d-----w-	c:\program files\NirSoft
2011-04-16 12:34 . 2011-04-16 12:34	--------	d-----w-	c:\program files\Common Files\Adobe
2011-04-16 11:50 . 2011-04-16 11:54	--------	d-----w-	c:\programdata\BitDefender
2011-04-16 11:50 . 2011-04-16 11:51	--------	d-----w-	c:\users\Mathieu\AppData\Roaming\BitDefender
2011-04-15 18:53 . 2011-04-15 18:53	--------	d-----w-	c:\program files\Common Files\SWF Studio
2011-04-15 18:47 . 2011-04-15 18:47	--------	d-----w-	c:\program files\Red Storm Entertainment
2011-04-15 18:16 . 2011-02-16 16:16	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-04-15 18:16 . 2011-02-16 14:02	292864	----a-w-	c:\windows\system32\atmfd.dll
2011-04-15 18:14 . 2011-03-03 10:50	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-04-13 13:17 . 2011-04-13 13:17	766976	----a-w-	c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-04-06 15:30 . 2011-04-06 15:30	--------	d-----w-	c:\users\Mathieu\.thumbnails
2011-04-06 15:29 . 2011-04-06 16:20	--------	d-----w-	c:\users\Mathieu\AppData\Roaming\gtk-2.0
2011-04-06 15:27 . 2011-04-06 16:33	--------	d-----w-	c:\users\Mathieu\.gimp-2.6
2011-04-06 15:26 . 2011-04-06 15:27	--------	d-----w-	c:\program files\GIMP-2.0
2011-04-03 09:19 . 2011-04-03 09:19	--------	d-----w-	c:\program files\Common Files\Java
2011-04-01 17:18 . 2011-04-01 17:19	--------	d-----w-	c:\program files\IZArc
2011-03-26 11:35 . 2011-04-01 21:04	--------	d-----w-	c:\programdata\Messenger Plus!
2011-03-26 11:32 . 2011-03-26 11:32	--------	d-----w-	c:\program files\Microsoft
2011-03-26 11:31 . 2011-03-26 11:31	--------	d-----w-	c:\windows\PCHEALTH
2011-03-25 21:26 . 2011-03-25 21:26	--------	d-----w-	c:\program files\Yuna Software
2011-03-23 16:17 . 2011-02-22 14:13	288768	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-03-23 16:17 . 2011-02-22 13:33	1068544	----a-w-	c:\windows\system32\DWrite.dll
2011-03-23 16:17 . 2011-02-22 13:33	797696	----a-w-	c:\windows\system32\FntCache.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-08 22:36 . 2011-03-08 22:27	207552	----a-w-	c:\programdata\Microsoft\VBExpress\10.0\1036\ResourceCache.dll
2011-02-02 19:40 . 2010-09-15 17:53	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-01-20 16:37 . 2011-02-09 16:28	638336	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-01-20 16:08 . 2011-02-09 16:28	478720	----a-w-	c:\windows\system32\dxgi.dll
2011-01-20 16:08 . 2011-02-09 16:28	219648	----a-w-	c:\windows\system32\d3d10_1core.dll
2011-01-20 16:08 . 2011-02-09 16:28	160768	----a-w-	c:\windows\system32\d3d10_1.dll
2011-01-20 16:08 . 2011-02-09 16:28	1029120	----a-w-	c:\windows\system32\d3d10.dll
2011-01-20 16:08 . 2011-02-09 16:28	189952	----a-w-	c:\windows\system32\d3d10core.dll
2011-01-20 16:07 . 2011-02-09 16:28	37376	----a-w-	c:\windows\system32\cdd.dll
2011-01-20 16:07 . 2011-02-09 16:28	258048	----a-w-	c:\windows\system32\winspool.drv
2011-01-20 16:07 . 2011-02-09 16:28	586240	----a-w-	c:\windows\system32\stobject.dll
2011-01-20 16:06 . 2011-02-09 16:28	2873344	----a-w-	c:\windows\system32\mf.dll
2011-01-20 16:06 . 2011-02-09 16:28	26112	----a-w-	c:\windows\system32\printfilterpipelineprxy.dll
2011-01-20 16:04 . 2011-02-09 16:28	209920	----a-w-	c:\windows\system32\mfplat.dll
2011-01-20 16:04 . 2011-02-09 16:28	98816	----a-w-	c:\windows\system32\mfps.dll
2011-01-20 14:28 . 2011-02-09 16:28	1554432	----a-w-	c:\windows\system32\xpsservices.dll
2011-01-20 14:27 . 2011-02-09 16:28	876032	----a-w-	c:\windows\system32\XpsPrint.dll
2011-01-20 14:26 . 2011-02-09 16:28	667648	----a-w-	c:\windows\system32\printfilterpipelinesvc.exe
2011-01-20 14:25 . 2011-02-09 16:28	847360	----a-w-	c:\windows\system32\OpcServices.dll
2011-01-20 14:24 . 2011-02-09 16:28	135680	----a-w-	c:\windows\system32\XpsRasterService.dll
2011-01-20 14:15 . 2011-02-09 16:28	979456	----a-w-	c:\windows\system32\MFH264Dec.dll
2011-01-20 14:14 . 2011-02-09 16:28	357376	----a-w-	c:\windows\system32\MFHEAACdec.dll
2011-01-20 14:14 . 2011-02-09 16:28	302592	----a-w-	c:\windows\system32\mfmp4src.dll
2011-01-20 14:14 . 2011-02-09 16:28	261632	----a-w-	c:\windows\system32\mfreadwrite.dll
2011-01-20 14:12 . 2011-02-09 16:28	1172480	----a-w-	c:\windows\system32\d3d10warp.dll
2011-01-20 14:11 . 2011-02-09 16:28	486400	----a-w-	c:\windows\system32\d3d10level9.dll
2011-01-20 13:47 . 2011-02-09 16:28	683008	----a-w-	c:\windows\system32\d2d1.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-03-04 21:38	121392	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acer Empowering Technology Monitor"="c:\program files\Acer\Empowering Technology\SysMonitor.exe" [2008-04-25 319488]
"EmpoweringTechnology"="c:\program files\Acer\Empowering Technology\Framework.Launcher.exe" [2008-04-25 319488]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-04 526896]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-02-25 34040]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Setresolution"="c:\acer\config\1440x900.cmd" [2008-02-26 240]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"VX1000"="c:\windows\vVX1000.exe" [2010-05-20 762736]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2010-05-20 119152]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-03-18 1123360]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-02-25 131072]
R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880]
R3 GGSAFERDriver;GGSAFER Driver;c:\program files\Garena\safedrv.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-11-30 4023760]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 XDva380;XDva380;c:\windows\system32\XDva380.sys [x]
R3 XDva383;XDva383;c:\windows\system32\XDva383.sys [x]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-02-25 21752]
S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-04-25 24576]
S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-02-25 49152]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-01-14 2250616]
S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-02-03 153448]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
Akamai	REG_MULTI_SZ   	Akamai
bdx	REG_MULTI_SZ   	scan
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Mathieu\AppData\Roaming\Mozilla\Firefox\Profiles
u2uz43m.default\
FF - prefs.js: browser.search.selectedEngine - Admirable Studio Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: ChatZilla: {59c81df5-4b7a-477b-912d-4e0fdf64e5f2} - %profile%\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: SmallringFX DARKMagenta: {ce951a80-a291-11df-981c-0800200c9a66} - %profile%\extensions\{ce951a80-a291-11df-981c-0800200c9a66}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BitDefender Antiphishing Toolbar: FFToolbar@bitdefender.com - c:\program files\BitDefender\BitDefender 2010\bdaphffext
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-32bit Web Browser - c:\32bw\32bwsx.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-17 11:46
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
Heure de fin: 2011-04-17  11:50:40
ComboFix-quarantined-files.txt  2011-04-17 09:50
.
Avant-CF: 64 284 717 056 octets libres
Après-CF: 64 240 967 680 octets libres
.
- - End Of File - - 897994C9F036AC9F83B180FE6AF20266

juju666 · Answer

Comment se porte le pc ?

juju666 · Answer

oui redémarre 
tiens moi au courant au niveau des écrans bleus/noirs/mauve/jaune/... lol

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


c:\windows\system32\XDva380.sys 
c:\program files\Garena\safedrv.sys 


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

juju666 · Answer

ils sont donc bien absents comme indiqué sur le combofix :)

on va utiliser un autre outil de diagnostic, je ne lache pas l'affaire ! mais je commence de plus en plus à me demander si ton soucis ne vient pas d'un problème matériel... ou de bitdefender !

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?read=6e89403abb81411

Il se peux que sa vienne de Bit Defender. Car avant j'étais à la version 2009. Mais hier je suis passez a la 2010, donc...

juju666 · Answer

hummmm...... quelques traces .. rien qui justifie un BSOD !!


ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:OTL
FF - prefs.js..extensions.enabledItems: {34EFA911-B536-4C08-BECE-CD5E55C875B0}:1.0     
[2011/04/16 16:48:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mathieu\AppData\Roaming\mozilla\Firefox\Profiles
u2uz43m.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} 
[2011/04/17 00:55:09 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mathieu\AppData\Roaming\mozilla\Firefox\Profiles
u2uz43m.default\extensions\engine@conduit.com 
[2010/09/29 14:18:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mathieu\AppData\Roaming\mozilla\Firefox\Profiles
u2uz43m.default\extensions\{ce951a80-a291-11df-981c-0800200c9a66}\chrome\mozapps\extensions 
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.2.1 
FF - prefs.js..browser.search.defaultthis.engineName: "Admirable Studio Customized Web Search" 
FF - prefs.js..browser.search.selectedEngine: "Admirable Studio Customized Web Search" 
File not found (No name found) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{34EFA911-B536-4C08-BECE-CD5E55C875B0}     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)  

:commands
[emptytemp]


&#9654 Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

====================================================

&#9654 &#9654 rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


C:\Windows\System32\svchost.exe
C:\Windows\Explorer.exe


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

juju666 · Answer

mince excuse moi, je t'ai bougé reader_sl :(
regarde dans C:\OTL si tu le vois pour le remettre là dedans : C:\Program Files\Adobe\Reader 10.0\Reader\

tes fichiers sont sains !!! essayer de supprimer bitdefender : http://www.bitdefender.fr/KB333-fr--Desinstaller-BitDefender.html

juju666 · Answer

arf. je comprends pas. !!! Attention : plusieurs heures de scan !!! ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ XP: double clic ▶ ▶ Vista/7: clic droit, exécuter en tant qu'administrateur ▶ ▶ Vista/7 : l'UAC demande confirmation > valider par Oui ▶ clique 2 fois sur Ok ▶ clique sur Commencer le scan ▶ réponds Oui ==> L'analyse rapide démarre (si un pop up s'ouvre, clique sur la croix pour le fermer) A la fin du scan rapide, on te demande de restaurer le fichier host > Oui Ensuite: touche F9 Onglet Actions Coté Malwares: choisir Quarantaine pour Adwares, Dialers,... Valider par Ok ▶ choisi analyse complète et clique sur le Play vert ▶ De retour à la fenêtre principale : clique pour activer ▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶ Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". >> Si tu as un soucis (la mémoire ne peut pas être Read) clique deux fois sur ok et redémarre en mode sans échec, refais les mêmes manipulations ▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶ Ferme Dr.Web Cureit ▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

juju666 · Answer

non, ce rootkit s'installe dans le secteur d'amorçage.
pas la peine de formater; ça servira à rien. j'ai pas d'exemple sous la main pour te montrer dommage

Pendant le scan de dr web :


&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


c:\windows\is-8VORO.exe
c:\windows\system32\MFHEAACdec.dll
c:\program files\Garena\safedrv.sys


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

Utilisateur anonyme · Answer

c:\windows\is-8VORO.exe < le chemin n'existe pas

http://www.virustotal.com/file-scan/report.html?id=3b68befd89a7bdd8e52e4f84a3835176b41626cc32a4af7971b6dff2366e98d1-1303068076

c:\program files\Garena\safedrv.sys < le chemin n'existe pas


Pour le rapport Dr.web j'ai rien eux le temps de faire qu'il a fait bleu screen.

juju666 · Answer

&#9654 Télécharge l'image de Dr.Web LiveCD.  
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso  
&#9654 Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :  
          * Met le disque vide CD/DVD dans le lecteur  
          * Sélectionne "Ouvrir"  
          * Trouve et choisis une image mémorisée  
          * Clique sur le bouton "Graver" et attend la fin du processus d'enregistrement   
&#9654  Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton  ordinateur  
&#9654 Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s'afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)  
&#9654 A l'aide des touches flèches du clavier, sélectionne un élément du menu, et clique sur [Enter]:  

&#9654 Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)  
&#9654 Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible  
&#9654 A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et  et cliques sur Start

juju666 · Answer

arrête dr web j ai mille fois mieux 


Télécharge et exécute ça: http://sd-1.archive-host.com/membres/up/17959594961240255/FixShellQuietly.exe
C'est silencieux, tu ne verras rien, il ne se passera rien. 
Redémarre ton pc. Tu devrais pouvoir accéder au mode normal.

juju666 · Answer

matmat t as lancé le petit prog silencieux ?

juju666 · Answer

ok c'est bon alors.
Supprime le TDSS Killer que tu as téléchargé hier et refais ça :

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau  
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit  
dessus, et sur exécuter en tant qu'administrateur)  
&#9654 Clique sur Start Scan  
&#9654 Si l'outil a trouvé des éléments, choisi Cure,   
puis sur Reboot Now  
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir  
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer  
N° de version_Date_Heure_log.txt)

juju666 · Answer

grrr

désolé, mais va falloir refaire dr web ... ta variante de TDSS.tdl4 est très coriace

Utilisateur anonyme · Answer

Bonsoir, 


Désolé de l'attente. Le scan est finit, avec : 
- 2 fichiers infected : qui sont deux OTL.exe
- et 23 unable to scan ("file too large, skipped" pour 22fichiers et "packed by BINARYRESé pour 1 fichier)

Que dois-je faire ?

juju666 · Answer

salut :)

pas de soucis, entre temps on a trouvé une autre solution plus rapide mais pas grave, ton pc a été analysé dans les moindres recoins ainsi ;)

tu peux redémarrer normalement ?

juju666 · Answer

telecharge et dezippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip

Avec l'onglet "browse", sélectionne super_grub_disk_0.9799.iso

coche alors "read verify" , "Finalyze" et "autoeject"

déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start

Boot dessus et choisi avec les fleche de ton clavier ?WIN=> MBR & !WIN! 

image : http://imagesup.org/image

juju666 · Answer

Sur l'ordi sain:
________________________________________________________________

> Télécharges la console de récupération à cette adresse sur le bureau du PC sain.
> Décompresse le fichier CDR.zip sur ton bureau dans un dossier CDR (clique droit/extraire tout/Suivant/Suivant/Terminer).
________________________________________________________________
> Grave CDR.iso via néro par exemple.

 SI tu n'as pas de lecteur CD ou de CD vierge : 
> Télécharges Unetbootin ici
> Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Cliques sur DisqueImage.
> Cliques sur ...
> Cliques sur CDR.iso contenu dans le dossier CDR présent sur ton bureau.
> Dans type, laisse Lecteur USB et dans Lecteur, sélectionne la lettre qui correspond à ta clé USB.
> Cliques sur OK et laisse faire.
________________________________________________________________


Sur le PC infecté:

> Insère le CD/la clé USB précédemment créée
> (Re)démarre le PC
> Normalement, un écran bleu apparait. Laisse changer.
> Tapes la touche R.

/!\ Si il te dit Aucun disque détecté à cet étape ou après, fait moi signe, on essayera autre chose /!\

> Tapes la touche 1.
> Ensuite, si tu as un mot de passe de session, tapes le et valide par Entrée. Sinon, laisse vide et valide par Entrée.
> Tapes fixboot et valide par Entrée.
> Tapes o (et pas zéro) et valide par Entrée.
> Tapes fixmbr et valide pas Entrée
> Tapes o (et pas zéro) et valide par Entrée
> Tapes exit et valide par Entrée.
> Le PC redémarre, enlève ta clé USB.

juju666 · Answer

Je te réexplique, pas de soucis :)

Une fois que tu as téléchargé CDR.Zip
Tu le dézippe (clic droit extraire)

Tu obtiens un dossier CDR avec dedans CDR.iso

Deux possibilités :
- Tu dispose d'un graveur et d'un cd vierge : tu grave
- Tu n'en a pas mais tu as une clé : tu passe au tuto Unetbootin

Insère le CD/la clé dans le pc malade [assure toi que ton cd/ton usb est en first boot dans le bios]
Démarre dessus (appuie sur une touche si nécessaire : "Appuyez sur une touche pour démarrer depuis le CD"
Une fois la console chargée :

> Appuie sur R
> Appuie sur la touche 1.
> Ensuite, si tu as un mot de passe de session, tapes le et valide par Entrée. Sinon, laisse vide et valide par Entrée.
> Tapes fixboot et valide par Entrée.
> Tapes o (et pas zéro) et valide par Entrée.
> Tapes fixmbr et valide pas Entrée
> Tapes o (et pas zéro) et valide par Entrée
> Tapes exit et valide par Entrée.
> Le PC redémarre, enlève ta clé USB.

juju666 · Answer

Salut matmat

Excellente nouvelle en effet !!!!!

Est-ce que le pc malade démarre toujours ?!

On va regarder avec un diagnostic plus poussé les traces d'infections qu'il reste à traiter :

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

juju666 · Answer

ok :)

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:OTL
FF - prefs.js..extensions.enabledItems: {34EFA911-B536-4C08-BECE-CD5E55C875B0}:1.0     
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.2.1 
[2011/04/17 12:57:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mathieu\AppData\Roaming\mozilla\Firefox\Profiles
u2uz43m.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} 
[2011/04/17 12:57:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mathieu\AppData\Roaming\mozilla\Firefox\Profiles
u2uz43m.default\extensions\engine@conduit.com 
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:8CE646EE 
:Files
C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{34EFA911-B536-4C08-BECE-CD5E55C875B0}     
:commands
[emptytemp]


&#9654 Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

=====================================================

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

juju666 · Answer

extra ... :D

Tu as encore des soucis ? Occupons nous désormais du ménage :

&#9654 Télécharge ici : PureRa (par l'editeur de JavaRa)

&#9654 Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

&#9654 clique sur "Clean"

&#9654 L'outil va faire son scan puis son nettoyage

&#9654 à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

&#9654 transmets juste cette ligne , le reste importe peu 

------

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
&#9654 &#9654 cliques sur nettoyeur 
&#9654 cliques sur windows et dans la colonne avancé 
&#9654 coches la première case "vieilles données du perfetch" 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs "
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées" 
&#9654 il te demande de sauvegarder ==> OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK 
&#9654 Vérifie qu'il ne reste plus rien en relançant "rechercher les erreurs" 
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch" 
&#9654 tu peux fermer Ccleaner 

------ 

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques. 

------

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

Utilisateur anonyme · Answer

Bon ba VRAIMENT UN GRAND MERCI. Merci pour tous se que tu a fais (même si on sais pas trop comment il a disparu :D). Mais je tien sincerement a te remercier...


Bonne fin de journée et encore un grand MERCI.

Ecran noire & Bleu Screen

40 réponses

Discussions similaires

Newsletters