FakeAV bwf et olmarik Fermé

Question

Bonjour,  



Configuration: Windows Vista / Firefox 4.0.1



alors voila je sais que des questions ont deja été postées sur ce forum au sujet de ces virus, le seul probleme c est que sur mon ordinateur infecté, je n'ai plus rien. Sauf avast qui ne m'est pas d'un grand secours. Avast detecte fakeAV et olmarik et les mets en quarantaine. Impossible d'utiliser IE a cause de fakeAV, c'est à dire que je ne peux rien telecharger ! 
Dans les sujets deja traités, je lis "telecharge ca sur ton bureau" etc mais comment faire sans IE ? 


Il s'agit d'un ordinateur qui fonctionne sous XP. Les fichiers infectés sont d'apres avast : 


Ceux qui concernent fakeAV: 
C:\System Volume Information\...restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP1088\A0265950.sys>[Embedded_I#08818] 

C:\System Volume Information\...restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP1088\A0265951.sys>[Embedded_I#08818] 



Ceux qui concernent Olmarik : 

C:\WINDOWS\system32\spool\prtprocs\w32x86\237C.tmp 
C:\WINDOWS\system32\spool\prtprocs\w32x86\240E.tmp 


Je pense qu'il fudrait d'abord que je me debarasse de FakeAV pour pouvoir acceder a IE et telecharger les outils necessaires pour detruire Olmarik ??? 

Je precise que je suis vraiment novice ^^ 
Il n'y a plus rien nulle part, ni dans mes documents ni ailleurs, donc je suppose que de toute facon j'ai tout perdu ? vais je devoir tout reinstaller ? 


Merci de votre aide

Valuu · Answer

Bonjour, 

Pour écrire ce message, tu as accès à un autre ordi ? 
Dans ce cas télécharge les outils depuis cet autre ordi tant que tu n'as pas accès à IE. Et transfère les via clé USB ou autre.

-------------------------------------------------------------------------------------- 
    * Télécharge RogueKiller sur le bureau 
    * Quitte tous les programmes en cours 
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
    * Sinon lance simplement RogueKiller.exe 
    * Lorsque demandé, tape 1 et valide 
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide 
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

pau7980 · Answer

RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 06/06/2011 13:36:35 Processus malicieux: 0 Entrees de registre: 6 [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichier HOSTS: 127.0.0.1 localhost Termine : << \RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Valuu · Answer

--------------------------------------------------------------------------------------
   * Télécharge RogueKiller sur le bureau
   * Quitter tous les programmes en cours
   * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
   * Sinon lancer simplement RogueKiller.exe
   * Lorsque demandé, tape 6 et valider
   * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
   * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

--------------------------------------------------------------------------------------
MBAM
    * Télécharge Malwarebytes' Anti-Malware
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
   * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

pau7980 · Answer

Voila deja le rapport de roguekiller l'analyse par Malwarebytes est en cours J'ai deja recupéré l'acces a mes fichiers et je te remercie mille fois !!!! a part ca j'ai empeché l'execution au demarrage de C:\documentsandsettings\AllUsers\ApplicationData\UtYUtxpPhB.exe grâce a l'outil Démarrage de Ccleaner, car j'avais vu que ce fichier était cité par rogue comme "mis en quarantaine" et cela m'a permis de recuperer 'lacces a IE! Est ce que je peux carément le supprimer ?? RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Raccourcis RAZ -- Date : 06/06/2011 14:01:26 Processus malicieux: 1 [SUSP PATH] rnupgagent.exe -- c:\documents and settings\administrateur\application data\real\update\upgradehelper\realplayer\8.01\rnupgagent.exe -> KILLED Attributs de fichiers restaures: Bureau: Success 297 / Fail 0 Lancement rapide: Success 1 / Fail 0 Programmes: Success 88155 / Fail 0 Menu demarrer: Success 159 / Fail 0 Dossier utilisateur: Success 9375 / Fail 1 Mes documents: Success 21170 / Fail 1 Mes favoris: Success 158 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 63423 / Fail 1 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\CdRom1 -- 0x5 --> Skipped [G:] \Device\Harddisk1\DP(1)0-0+4 -- 0x2 --> Restored Termine : << \RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Valuu · Answer

Le scan de MBAM devrait le supprimer normalement ;)
Nickel si t'as récupéré ton accès à IE :)

pau7980 · Answer

Et voici le rapport de MBAM
"no action taken" ?! il a rien supprimé :(



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6784

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/06/2011 14:59:02
mbam-log-2011-06-06 (14-58-27).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 344033
Temps écoulé: 55 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

salut pourquoi l'option 2 de roguekiller n'a pas immédiatement demandée ?

pau7980 · Answer

tu penses que je peux choisir 2 sur rogue ?
Est ce que ce sont des fichiers qui peuvent etre supprimés sans encombres ?

gen-hackman · Answer

ben il y a ceci à corriger avec roguekiller tout de meme :

Entrees de registre: 6
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

pau7980 · Answer

bon voila j'essaie de redemarrer maintenant. RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 06/06/2011 16:26:59 Processus malicieux: 0 Entrees de registre: 6 [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost Termine : << \RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Valuu · Answer

--------------------------------------------------------------------------------------
    * Quitte tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 2 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

pau7980 · Answer

ben ben voila,
j'ai recupéré mes icones et mon fond d'écran, mes dossiers et mon acces internet, tout à l'air ok, je ne sais pas si je suis vraiment débarassée de tous mes virus mais au moins on peut se servir de l'ordinateur alors un grand merci pour vos conseils !!
La zone de quarantaine d'avast est blindée ^^ ay des .exe, des .inf, des .sys, des .tmp....
je laisse tout comme ca ?

Valuu · Answer

Poste moi le rapport de RogueKiller en mode 2 stp.

Puis on va vérifier si il y a des restes, ou d'autres infections.

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

pau7980 · Answer

RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 06/06/2011 16:26:59 Processus malicieux: 0 Entrees de registre: 6 [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost Termine : << \RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

pau7980 · Answer

et voila pour le rapport de ZHP ! 

http://pjjoint.malekal.com/files.php?id=b8f01e37789811

ca a l'air imbuvable ce machin je sais pas comment tu fais pour lire ca ^^

Valuu · Answer

Yop,
Ça s'apprend à être lu ^^

Lance MBRCheck depuis le raccourci qui est sur ton bureau puis donne moi le rapport qu'il te donne (il apparait sur ton bureau à la date et l'heure d'aujourd'hui).

Puis :
--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau. 
Déconnecte toi et ferme toutes les applications en cours 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

pau7980 · Answer

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 136):
  0x804D7000 \WINDOWS\system32
tkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9EB4000 spwy.sys
  0xBA5AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xB9E9C000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xB9E6D000 ACPI.sys
  0xB9E5C000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9E3D000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9E17000 dmio.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9DFF000 atapi.sys
  0xB9D25000 iaStor.sys
  0xBA0D8000 SbAlg.sys
  0xBA0E8000 disk.sys
  0xBA0F8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9D05000 fltmgr.sys
  0xBA5AE000 SbFsLock.sys
  0xB9CF3000 sr.sys
  0xBA108000 PxHelp20.sys
  0xB9CDC000 KSecDD.sys
  0xB9CC9000 WudfPf.sys
  0xB9C3C000 Ntfs.sys
  0xB9C0F000 NDIS.sys
  0xBA118000 sfaudio.sys
  0xB9BF6000 SafeBoot.sys
  0xB9BDC000 Mup.sys
  0xB8352000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
  0xB833E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB89A1000 \SystemRoot\system32\DRIVERS\HECI.sys
  0xB832D000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB9BAC000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB8308000 \SystemRoot\system32\DRIVERS\e1k5132.sys
  0xBA3E8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB82E4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA3F0000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB82BC000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB8991000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA3F8000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA408000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB8981000 \SystemRoot\system32\DRIVERS\IFXTPM.SYS
  0xB8971000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB8961000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB8951000 \SystemRoot\system32\DRIVERSedbook.sys
  0xB8299000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA410000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xB8260000 \SystemRoot\System32\Drivers\alhck0sl.SYS
  0xB8941000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB9B9C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA7ED000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB8931000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0xB9B98000 \SystemRoot\system32\DRIVERS
distapi.sys
  0xB8249000 \SystemRoot\system32\DRIVERS
diswan.sys
  0xB8921000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0xB8911000 \SystemRoot\system32\DRIVERSaspptp.sys
  0xBA478000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB8238000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA318000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA480000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA488000 \SystemRoot\system32\DRIVERSaspti.sys
  0xB9B88000 \SystemRoot\System32\Drivers\PdiPorts.sys
  0xB8208000 \SystemRoot\system32\DRIVERSdpdr.sys
  0xBA148000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0xBA634000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9B74000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA2A8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xA2A35000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA62C000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xA063E000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xA061A000 \SystemRoot\system32\drivers\portcls.sys
  0xA2A15000 \SystemRoot\system32\drivers\drmk.sys
  0xA0602000 \SystemRoot\system32\drivers\AEAudio.sys
  0x9D8F6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x9B2D8000 \SystemRoot\System32\Drivers\Null.SYS
  0x9D8F4000 \SystemRoot\System32\Drivers\Beep.SYS
  0x9B2C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x9B2BF000 \SystemRoot\System32\drivers\vga.sys
  0x9D8F2000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0x9C29B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x9B2B7000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x9B2AF000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x9BD1B000 \SystemRoot\system32\DRIVERSasacd.sys
  0x9A2BC000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0x9A263000 \SystemRoot\system32\DRIVERS	cpip.sys
  0x9AF40000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x9A23D000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0x9AF30000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x9AF20000 \SystemRoot\system32\drivers\mfetdik.sys
  0x9A215000 \SystemRoot\system32\DRIVERS
etbt.sys
  0x9B2A7000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0x9A1F3000 \SystemRoot\System32\drivers\afd.sys
  0x9AF10000 \SystemRoot\system32\DRIVERS
etbios.sys
  0x9C299000 \SystemRoot\System32\Drivers\RsvLock.SYS
  0x9A1C8000 \SystemRoot\system32\DRIVERSdbss.sys
  0x9A130000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9A0FE000 \SystemRoot\system32\drivers\mfehidk.sys
  0x9A0CF000 \??\C:\WINDOWS\system32\drivers\fslx.sys
  0x9B29F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x9B060000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0x9B287000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0x9AB6F000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0x9AB5F000 \SystemRoot\System32\Drivers\Fips.SYS
  0x9A05D000 \SystemRoot\System32\Drivers\aswSP.SYS
  0x99FED000 \SystemRoot\System32\Drivers\aswSnx.SYS
  0x9ADA9000 \SystemRoot\System32\Drivers\Aavmker4.SYS
  0x99F13000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0x9E492000 \SystemRoot\System32\drivers\Dxapi.sys
  0xA0A20000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0x9A741000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF024000 \SystemRoot\System32\igxpgd32.dll
  0xBF012000 \SystemRoot\System32\igxprd32.dll
  0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
  0xBF25B000 \SystemRoot\System32\igxpdx32.DLL
  0xBF562000 \SystemRoot\System32\ATMFD.DLL
  0x9A0B7000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0xA316B000 \SystemRoot\system32\DRIVERS
disuio.sys
  0x99ED4000 \SystemRoot\System32\Drivers\aswMon2.SYS
  0x998F7000 \SystemRoot\system32\drivers\wdmaud.sys
  0x999A4000 \SystemRoot\system32\drivers\sysaudio.sys
  0x995F4000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0x992DD000 \SystemRoot\system32\DRIVERS\srv.sys
  0x98DC4000 \SystemRoot\System32\Drivers\HTTP.sys
  0xBA498000 \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mbr.sys
  0x9890E000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32
tdll.dll
  0x10000000 \Program Files\DAEMON Tools Lite\Engine.dll

Processes (total 60):
       0 System Idle Process
       4 System
     780 C:\WINDOWS\system32\smss.exe
     836 csrss.exe
     860 C:\WINDOWS\system32\winlogon.exe
     904 C:\WINDOWS\system32\services.exe
     920 C:\WINDOWS\system32\lsass.exe
    1124 C:\WINDOWS\system32\svchost.exe
    1156 C:\Program Files\Hewlett-Packard\File Sanitizer\HPFSService.exe
    1184 C:\WINDOWS\system32\svchost.exe
    1248 C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
    1284 svchost.exe
    1384 C:\WINDOWS\system32\svchost.exe
    1428 C:\WINDOWS\system32\svchost.exe
    1524 svchost.exe
    1628 svchost.exe
    1772 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    1804 acevents.exe
    2024 C:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe
     340 C:\WINDOWS\explorer.exe
     600 C:\WINDOWS\system32\hkcmd.exe
     612 C:\WINDOWS\system32\igfxpers.exe
     632 C:\Program Files\Analog Devices\Core\smax4pnp.exe
     644 C:\Program Files\Analog Devices\SoundMAX\SMax4.exe
     620 C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe
     772 C:\WINDOWS\system32\igfxsrvc.exe
     960 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
    1336 C:\Program Files\Realealplayer\Updateealsched.exe
    1376 C:\Program Files\iTunes\iTunesHelper.exe
    1412 C:\WINDOWS\system32\ctfmon.exe
    2416 C:\WINDOWS\system32\spoolsv.exe
    2500 scardsvr.exe
    3464 svchost.exe
    3504 C:\Program Files\ActivIdentity\ActivClient\accoca.exe
    3532 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    3616 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    3668 C:\Program Files\Bonjour\mDNSResponder.exe
    3760 C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    4004 C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
     944 C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
     820 C:\Program Files\Java\jre6\bin\jqs.exe
    1356 C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    2208 C:\Program Files\Intel\AMT\LMS.exe
    2576 C:\Program Files\PDF Complete\pdfsvc.exe
    2628 C:\WINDOWS\system32\HPZipm12.exe
    2672 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    2864 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    2532 C:\WINDOWS\system32\svchost.exe
    3024 C:\WINDOWS\system32\StkASv2K.exe
    3052 C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    3068 C:\Program Files\Fichiers communs\Intel\Privacy Icon\UNS\UNS.exe
     800 C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
    3000 C:\Program Files\iPod\bin\iPodService.exe
    3748 C:\WINDOWS\system32\wbem\wmiapsrv.exe
     412 alg.exe
    2472 C:\WINDOWS\system32\svchost.exe
    3636 wmiprvse.exe
    3560 C:\Program Files\Internet Explorer\iexplore.exe
    5280 C:\Program Files\Internet Explorer\iexplore.exe
    3628 C:\Program Files\ZHPDiag\mbrcheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\D: --> \.\PhysicalDrive0 at offset 0x00000071'6fdc4200  (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAKS-60A7B0, Rev: 02.03B02

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \.\PhysicalDrive0   Hewlett-Packard MBR code detected
            SHA1: 6DE5B7C1EEAFBE901B2807597A84F9F19604E031

pau7980 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:08:48 le 06/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Administrateur@MAISON ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit
Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\DesktopIcon

Clé trouvée: HKLM\Software\Classes\Conduit.Engine
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2405727
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2608616
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2642697
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\Live-Player
Clé trouvée: HKCU\Software\Conduit
Clé trouvée: HKCU\Software\Live-Player
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Plugins
pPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.)
HKLM_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
HKCU_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kcgczkpc.default --
Extensions\{eba85b99-fcd5-036b-059d-fa63334fc314} (Fnac Download Manager)
Prefs.js - browser.download.dir, C:\Documents and Settings\Administrateur\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=91&bd=all&pf=cmdt
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Radio Bar 2 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKLM_Toolbar|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKLM_ElevationPolicy\ebcee3b2-d5f3-4c80-a27e-ded6310ef829 - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - C:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 06/06/2011 16:08:51 (5222 Octet(s)) 

Fin à: 16:09:21, 06/06/2011 
 
============== E.O.F ==============

Valuu · Answer

Yop !

Bien pour MBRCheck.

--------------------------------------------------------------------------------------
* Double-clique sur l'icône AD-Remover 
Déconnecte toi et ferme toutes les applications en cours 
* Au menu principal, clique sur Nettoyer 
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

Puis reposte un rapport ZHPDiag stp.

pau7980 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:47:35 le 06/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Administrateur@MAISON ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\DesktopIcon

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2405727
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2608616
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2642697
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\Live-Player
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\Live-Player
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Plugins
pPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.)
HKLM_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
HKCU_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kcgczkpc.default --
Extensions\{eba85b99-fcd5-036b-059d-fa63334fc314} (Fnac Download Manager)
Prefs.js - browser.download.dir, C:\Documents and Settings\Administrateur\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKLM_Toolbar|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKLM_ElevationPolicy\ebcee3b2-d5f3-4c80-a27e-ded6310ef829 - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - C:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/06/2011 17:47:37 (5078 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 06/06/2011 16:08:51 (5360 Octet(s)) 

Fin à: 17:48:26, 06/06/2011 
 
============== E.O.F ==============

pau7980 · Answer

https://pjjoint.malekal.com/files.php?id=38685333ba81514

voila le rapport ZHP diag, il dit toujours "possible MBRrootkit infection" 

Ca doit etre ce fameux Olmarik dont visiblement personne n'arrive a se débarasser :(
Tu penses qu'un programme genre rootkit buster peut en venir à bout ? je sais pas trop ce que ca vaut

Valuu · Answer

Hello,

Oui tu as "Possible MBR Rootkit Infection" mais dedans il y a "Possible".
Le rapport MBRCheck à montrer que tu avais un MBR sain et normal pour un pc HP.

1/ Supprime beaucoup de chose de ton disque C:
Tu n'as qu'1% de libre, il en faudrait minimum 10, voir 15% pour que ça tourne mieux.

2/ --------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
EmptyTemp
EmptyFlash
SysRestore
FirewallRAZ
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Clé orpheline     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline     
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} . (.Pas de propriétaire - Pas de description.) --  (.not file.)     
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline 
O23 - Service:  (0029051235652130mcinstcleanup) - Clé orpheline 
[HKCU\Software\LdShih]     
O64 - Services: CurCS - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\002905~1.exe (.not file.) - McAfee Application Installer Cleanup (0029051235652130) (0029051235652130mcinstcleanup)  .(...) - LEGACY_0029051235652130MCINSTCLEANUP 
O64 - Services: CurCS - (.not file.) - (.not file.) - Application système COM+ (COMSysApp)  .(...) - LEGACY_COMSYSAPP     
O64 - Services: CurCS - (.not file.) - (.not file.) - Lanceur de processus serveur DCOM (DcomLaunch)  .(...) - LEGACY_DCOMLAUNCH     
O64 - Services: CurCS - (.not file.) - FBIKB_NT (FBIKB_NT)  .(...) - LEGACY_FBIKB_NT     
O64 - Services: CurCS - (.not file.) - Pilote de filtre de trafic IP (IpFilterDriver)  .(...) - LEGACY_IPFILTERDRIVER     
O64 - Services: CurCS - (.not file.) - mbr (mbr)  .(...) - LEGACY_MBR     
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01)  .(...) - LEGACY_MFEHIDK01     
O64 - Services: CurCS - (.not file.) - MPFP (MPFP)  .(...) - LEGACY_MPFP     
O64 - Services: CurCS - (.not file.) - (.not file.) - PDF Document Manager (pdfcDispatcher)  .(...) - LEGACY_PDFCDISPATCHER     
O64 - Services: CurCS - (.not file.) - RDPNP (RDPNP)  .(...) - LEGACY_RDPNP     
O64 - Services: CurCS - (.not file.) - (.not file.) - Appel de procédure distante (RPC) (RpcSs)  .(...) - LEGACY_RPCSS     
O64 - Services: CurCS - (.not file.) - (.not file.) - MS Software Shadow Copy Provider (SwPrv)  .(...) - LEGACY_SWPRV     
O64 - Services: CurCS - (.not file.) - (.not file.) - Services Terminal Server (TermService)  .(...) - LEGACY_TERMSERVICE     
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] 
[HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]     
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]     
[HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]     
[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]     
SS - | Auto  0 |  (0029051235652130mcinstcleanup) . (...) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\002905~1.exe 
O41 - Driver: McAfee Inc. mfehidk (mfehidk) . (.McAfee, Inc. - Host Intrusion Detection Link Driver.) - C:\WINDOWS\System32\drivers\mfehidk.sys
O41 - Driver: McAfee Inc. mfetdik (mfetdik) . (.McAfee, Inc. - Anti-Virus Mini-Firewall Driver.) - C:\WINDOWS\System32\drivers\mfetdik.sys
[HKLM\Software\McAfee.com]
O58 - SDL:[MD5.9C47DF33993F153F4CD9E25E1A603385] - 14/07/2008 - 10:21:28 ---A- . (.McAfee, Inc. - Anti-Virus File System Filter Driver.) -- C:\WINDOWS\system32\drivers\MfeAVFK.sys   [79240]
O58 - SDL:[MD5.4CA226178D9184B0E20C16AF88008C21] - 14/07/2008 - 10:21:34 ---A- . (.McAfee, Inc. - Buffer Overflow Protection Driver.) -- C:\WINDOWS\system32\drivers\MfeBOPK.sys   [35240]
O58 - SDL:[MD5.435C5D07F8809476E5DCB2A13AC0073E] - 14/07/2008 - 10:21:50 ---A- . (.McAfee, Inc. - Host Intrusion Detection Link Driver.) -- C:\WINDOWS\system32\drivers\mfehidk.sys   [207688]
O58 - SDL:[MD5.209C126620F9BB2E22B6A96E7ADB2659] - 14/07/2008 - 10:22:20 ---A- . (.McAfee, Inc. - VSCore Code Analysis Driver.) -- C:\WINDOWS\system32\drivers\MfeRKDK.sys   [34152]
O58 - SDL:[MD5.561FD97CF0EB8C18795E7665FB2B8840] - 14/07/2008 - 10:22:40 ---A- . (.McAfee, Inc. - Anti-Virus Mini-Firewall Driver.) -- C:\WINDOWS\system32\drivers\mfetdik.sys   [55176]
O64 - Services: CurCS - 14/07/2008 - C:\WINDOWS\System32\drivers\MfeAVFK.sys - McAfee Inc. MfeAVFK(MfeAVFK)  .(.McAfee, Inc. - Anti-Virus File System Filter Driver.) - LEGACY_MFEAVFK
O64 - Services: CurCS - 14/07/2008 - C:\WINDOWS\System32\drivers\MfeBOPK.sys - McAfee Inc. MfeBOPK(MfeBOPK)  .(.McAfee, Inc. - Buffer Overflow Protection Driver.) - LEGACY_MFEBOPK
O64 - Services: CurCS - 14/07/2008 - C:\WINDOWS\System32\drivers\mfehidk.sys - McAfee Inc. mfehidk(mfehidk)  .(.McAfee, Inc. - Host Intrusion Detection Link Driver.) - LEGACY_MFEHIDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01)  .(...) - LEGACY_MFEHIDK01
O64 - Services: CurCS - 14/07/2008 - C:\WINDOWS\System32\drivers\mfetdik.sys - McAfee Inc. mfetdik(mfetdik)  .(.McAfee, Inc. - Anti-Virus Mini-Firewall Driver.) - LEGACY_MFETDIK

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

3/ Met ton Avast à jour vers la version 6. Désinstalle la 5 avant d'installer la 6 pour que ça soit plus propre.

4/ --------------------------------------------------------------------------------------
* Désinstalle toutes les versions de Adobe Reader présentes dans l'ajout/suppression de programme
* Télécharge la nouvelle version ici en prenant soin de décocher la case du téléchargement de McAfee ou d'une barre d'outil google.
* Installe là

5/ --------------------------------------------------------------------------------------
   * Télécharge la dernière version de Java : https://www.java.com/fr/download/
   * Installe là
    *Puis télécharge JavaRa.zip
    * Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    * Double-clique sur le répertoire JavaRa obtenu.
    * Si tu es sous Vista/Seven, Exécute le avec un clic droit / Exécuter en tant qu'administrateur
    * Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    * Clique sur Remove Older Versions.
    * Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    * Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. (Note : le rapport se trouve aussi là : ( C:\JavaRa.log ))

6/ --------------------------------------------------------------------------------------
  * Télécharge RegistryTool de Xplode sur ton bureau 
  * Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
  * Copie la clé ci-dessous en gras

[HKLM\Software\fslrdr] 

  * Colle-la dans la zone de saisie située au regard de RegExport
  * Puis clique sur Exporter
  * Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
  * A "nom de fichier", indique : ExportReg
  * Clique sur Enregistrer
  * Un message de bonne fin va apparaître "Clé exportée avec succès"
  * La clé ainsi exportée se trouvera sur le bureau

pau7980 · Answer

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-06-2011-20-47-35.txt
Run by Administrateur at 06/06/2011 20:47:35
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT CLSID BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670}
ABSENT CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
ERREUR Service: 0029051235652130mcinstcleanup
SUPPRIME HKCU\Software\LdShih
SUPPRIME Service Legacy: LEGACY_0029051235652130MCINSTCLEANUP
SUPPRIME Service Legacy: LEGACY_COMSYSAPP
SUPPRIME Service Legacy: LEGACY_DCOMLAUNCH
SUPPRIME Service Legacy: LEGACY_FBIKB_NT
SUPPRIME Service Legacy: LEGACY_IPFILTERDRIVER
SUPPRIME Service Legacy: LEGACY_MBR
SUPPRIME Service Legacy: LEGACY_MFEHIDK01
SUPPRIME Service Legacy: LEGACY_MPFP
SUPPRIME Service Legacy: LEGACY_PDFCDISPATCHER
SUPPRIME Service Legacy: LEGACY_RDPNP
SUPPRIME Service Legacy: LEGACY_RPCSS
SUPPRIME Service Legacy: LEGACY_SWPRV
SUPPRIME Service Legacy: LEGACY_TERMSERVICE
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
ABSENT HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}
SUPPRIME HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}
ABSENT HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}
SUPPRIME Driver Key: mfehidk
SUPPRIME Driver Key: mfetdik
SUPPRIME HKLM\Software\McAfee.com
SUPPRIME Service Legacy: LEGACY_MFEAVFK
SUPPRIME Service Legacy: LEGACY_MFEBOPK
SUPPRIME Service Legacy: LEGACY_MFEHIDK
ABSENT Service Legacy: LEGACY_MFEHIDK01
SUPPRIME Service Legacy: LEGACY_MFETDIK

========== Valeur(s) du Registre ==========
Aucune valeur présente dans la clé d'exception du registreFirewallRaz : 
ABSENT O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
SUPPRIME RunValue: KernelFaultCheck

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 1
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 3
SUPPRIME Flash Cookies: 0
ABSENT File: c:\docume~1\admini~1\locals~1	emp\002905~1.exe
SUPPRIME c:\windows\system32\drivers\mfeavfk.sys
SUPPRIME c:\windows\system32\drivers\mfebopk.sys
SUPPRIME c:\windows\system32\drivers\mfehidk.sys
SUPPRIME c:\windows\system32\drivers\mferkdk.sys
SUPPRIME c:\windows\system32\drivers\mfetdik.sys

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
31 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
8 : Fichier(s)
1 : Restauration Système


End of the scan

pau7980 · Answer

bon, ben je crois que je ne suis pas au bout de mes peines. Ce matin surprise : mon probleme d'IE ressurgit (atténué bien sur mais tout de même) : quand je lance une recherche google, la page de resultats s'affiche sans soucis. Quand je clique sur un lien, je suis redirigées vers des pages en ".us" genre "gomeo" ou "xfs.us", mais ca n'arrive qu'une fois sur trois, en perseverant j'arrive finalement a atteindre la page que je veux. Hier, ca faisait ca systématiquement.* 

sinon, à quoi correspond cette clé que je dois mettre sur registrytool ?

rapport de javaRa
JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Jun 07 09:34:32 2011

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Administrateur\Application Data\Sun\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Administrateur\Application Data\Sun\Java\jre1.6.0_20

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.

Sinon impossible de fermer la fenetre de javaRA j'ai droit au message d'erreur : "Cannot create file "C:\documents and settings\administrateur\Application Data\uickzip45.ini". Accès refusé"

Valuu · Answer

Yop,

Repasse un coup de Ad-Remover pour voir.

Ferme JavaRa à la sauvage (gestionnaire de tache par exemple).

Pour RegistryTool, justement, je ne sais pas à quoi elle correspond, c'est pour voir à quoi elle sert :)

pau7980 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 10:22:30 le 07/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Administrateur@MAISON ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Plugins
pPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.)
HKLM_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
HKCU_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kcgczkpc.default --
Extensions\{eba85b99-fcd5-036b-059d-fa63334fc314} (Fnac Download Manager)
Prefs.js - browser.download.dir, C:\Documents and Settings\Administrateur\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (x)
HKCU_Toolbar\WebBrowser|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{577EBCA9-8ED3-45FC-A514-55B3817D4BCF} (C:\Program Files\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll)
HKLM_ElevationPolicy\ebcee3b2-d5f3-4c80-a27e-ded6310ef829 - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - C:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 28 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/06/2011 17:47:37 (5282 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 07/06/2011 10:22:33 (3758 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 06/06/2011 16:08:51 (5360 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 07/06/2011 10:20:34 (3916 Octet(s)) 

Fin à: 10:23:18, 07/06/2011 
 
============== E.O.F ==============

Valuu · Answer

Mouais...
On verra dans le prochain ZHPDiag, en attendant fini ça : https://forums.commentcamarche.net/forum/affich-22289943-fakeav-bwf-et-olmarik?page=2#23

pau7980 · Answer

Dans registrytool : 
Erreur-nom de clé ou chemin d'accès invalide


Un rapport de RSIT au cas où
https://pjjoint.malekal.com/files.php?id=c710f3765d51413

Valuu · Answer

Pas besoin de RSIT, je lui préfère ZHPDiag.
Je l'ai toutefois regardé et il ne montre rien de néfaste.

Reposte un rapport ZHPDiag quand même stp.

pau7980 · Answer

hop 

https://pjjoint.malekal.com/files.php?id=p6j15p5x6c8w13r9n8l12

Valuu · Answer

Tu as beaucoup de BHO (voir ici ce que c'est : Qu'est-ce qu'un BHO ?

Je t'en fais la liste ci dessous, dis moi si tu souhaites en garder quelques-un, ou pas du tout (sachant que généralement tu ne sias même pas qu'ils sont là, surtout si tu n'utilises pas IE)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} . (.RealPlayer - RealPlayer Download and Record Plugin.) -- C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordP 
O2 - BHO: BHO_Startup - {3134413B-49B4-425C-98A5-893C1F195601} . (.Hewlett-Packard - File Sanitizer for HP ProtectTools.) -- C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} . (.Microsoft Corporation - Search Helper for Internet Explorer.) -- C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} . (.Tracker Software Products Ltd. - PDF-XChange Viewer IE-Plugin.) -- C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll 
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} . (.Bioscrypt Inc. - SSO IE Listener.) -- C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll 
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 


Tu as 2 Toolbars, souhaites-tu les garder, te servent-elles ?
Toolbar: &Windows Live Toolbar
Toolbar: I.R.I.S. Desktop Search

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------

EmptyTemp
EmptyFlash
O23 - Service:  (0029051235652130mcinstcleanup) - Clé orpheline 
O41 - Driver: McAfee Inc. mfehidk (mfehidk) . (. - .) - C:\WINDOWS\System32\drivers\mfehidk.sys (.not file.) 
O41 - Driver: McAfee Inc. mfetdik (mfetdik) . (. - .) - C:\WINDOWS\System32\drivers\mfetdik.sys (.not file.) 
OPT:O53 - SMSR:HKLM\...\startupreg\Acrobat Assistant 8.0  [Key] . (...) -- C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (.not file.)     
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Acrobat Speed Launcher  [Key] . (...) -- C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (.not file.)     
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (...) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.)     
O64 - Services: CurCS - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\002905~1.exe (.not file.) - McAfee Application Installer Cleanup (0029051235652130) (0029051235652130mcinstcleanup)  .(...) - LEGACY_0029051235652130MCINSTCLEANUP 
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}     
C:\Program Files\DAEMON Tools Toolbar     
SS - | Auto  0 |  (0029051235652130mcinstcleanup) . (...) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\002905~1.exe 

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

pau7980 · Answer

bof non je ne veux pas garder les BHO, surtout si certains sont susceptibles d'être responsables de mon problème, vu qu'a part le fait d'être redirigé une fois sur trois j'ai plus de soucis (sauf peut etre un gros carré bleu de 10x10cm en haut a droite de l'ecran ^^)
D'ailleurs j'ai l'impression de ne pas rencontrer ce problème avec mozilla !

A la rigueur je garderai bien la toolbar IRIS mais c est tout

Le rapport de ZHPfix :

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : 
Run by Administrateur at 08/06/2011 10:26:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ERREUR Service: 0029051235652130mcinstcleanup
SUPPRIME Driver Key: mfehidk
SUPPRIME Driver Key: mfetdik
SUPPRIME  StartupReg: Acrobat Assistant 8.0
SUPPRIME  StartupReg: Adobe Acrobat Speed Launcher
SUPPRIME  StartupReg: Adobe Reader Speed Launcher
SUPPRIME Service Legacy: LEGACY_0029051235652130MCINSTCLEANUP

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 88
SUPPRIME Flash Cookies: 14
SUPPRIME c:\program files\daemon tools toolbar

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 16
SUPPRIME Flash Cookies: 10
ABSENT File: c:\docume~1\admini~1\locals~1	emp\002905~1.exe


========== Récapitulatif ==========
7 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Dossier(s)
3 : Fichier(s)


End of the scan

J'ai fais un scan avec ESET hier et il a juste trouvé un adware Win32 dealio toolbar dans un fichier "setupvideoconverter.exe"

Valuu · Answer

Okay, dans ce cas je te vire le BHO, et la Windows Live Toolbar.

Un dernier petit truc à virer également qui est possiblement la cause de tes redirections 1/3.

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations]:intl   =>Hijacker.Agent
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations]:XMLLookup   =>Hijacker.Agent
O42 - Logiciel: Windows Live Toolbar - (.Microsoft Corporation.) [HKLM] -- {9D6524E6-15CF-4852-BF70-04FE973A3DE1}
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} . (.RealPlayer - RealPlayer Download and Record Plugin.) -- C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordP
O2 - BHO: BHO_Startup - {3134413B-49B4-425C-98A5-893C1F195601} . (.Hewlett-Packard - File Sanitizer for HP ProtectTools.) -- C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} . (.Microsoft Corporation - Search Helper for Internet Explorer.) -- C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} . (.Tracker Software Products Ltd. - PDF-XChange Viewer IE-Plugin.) -- C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} . (.Bioscrypt Inc. - SSO IE Listener.) -- C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

Tu me tiendras au courant pour les redirections après ça.

Et c'est quoi cette histoire de carré bleu ? C'est nouveau ou c'était là avant ?

pau7980 · Answer

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-08-06-2011-20-22-11.txt
Run by Administrateur at 08/06/2011 20:22:11
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Partiel O42 - Logiciel: Windows Live Toolbar - (.Microsoft Corporation.) [HKLM] -- {9D6524E6-15CF-4852-BF70-04FE973A3DE1}
SUPPRIME CLSID BHO: {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
SUPPRIME CLSID BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}
SUPPRIME CLSID BHO: {3134413B-49B4-425C-98A5-893C1F195601}
SUPPRIME CLSID BHO: {6EBF7485-159F-4bff-A14F-B9E3AAC4465B}
SUPPRIME CLSID BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}
SUPPRIME CLSID BHO: {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F}
SUPPRIME CLSID BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}
SUPPRIME CLSID BHO: {DF21F1DB-80C6-11D3-9483-B03D0EC10000}
SUPPRIME CLSID BHO: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}
SUPPRIME CLSID BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}

========== Valeur(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations]:intl
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations]:XMLLookup

========== Fichier(s) ==========
ERREUR Folder: c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll ()
ABSENT File: c:\documents and settings\all users\application dataealealplayer\browserrecordp
SUPPRIME c:\program files\hewlett-packard\file sanitizer\iebho.dll
SUPPRIME c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
SUPPRIME c:\program files\fichiers communs\microsoft shared\windows live\windowslivelogin.dll
SUPPRIME c:\program files	racker software\pdf-xchange viewer\pdf-viewer\pdfxcviewieplugin.dll
SUPPRIME c:\program files\java\jre6\bin\jp2ssv.dll
SUPPRIME c:\program files\hewlett-packard\iam\bin\itieaddin.dll
SUPPRIME c:\program files\windows live	oolbar\wltcore.dll
SUPPRIME c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


========== Récapitulatif ==========
11 : Clé(s) du Registre
2 : Valeur(s) du Registre
10 : Fichier(s)


End of the scan


C'est ok pour le carré bleu, ça venait du moniteur et c'est réglé ^^ 
bon suspens pour les redirections je te dis ce qu'il en est :)

pau7980 · Answer

Bon ben je crois pouvoir dire que c'est réglé ^^ ( j'espère ne pas me rejouir trop vite....)
un graaaaaaand merci valuu pour ton aide!!! :)

Valuu · Answer

Youpi =D

Si jamais c'est encore là, tu repasses et on verra ce qu'on peut y faire ;)

En attendant je te passe la procédure finale. Elle parle de sécurité, de suppressions des outils utilisés, d'optimisation...

--------------------------------------------------------------------------------------
Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

    * Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
    * Entre la description suivante :Post-désinfection
    * Clic sur le bouton Créer, puis sur le bouton OK.
    * Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système:

    * Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Exécuter en tant qu'administrateur sous Vista/Seven)
    * Clic sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir
    * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
    * Rends toi dans l'onglet "Autres options"
    * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
    * Les points de restauration système seront purgés sauf le dernier créé.

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système. 

Défragmente tes disque dur : 
Télécharge Deffragler, et défragmente tes 2 disques.

Pour ta navigation, je te conseille d'utiliser Mozilla Firefox par défaut. Internet Explorer est bien, mais Mozilla est plus rapide et plus sécurisé (et plus personnalisable en plus).
Pour le sécuriser tu peux ajouter les modules complémentaires suivant : 
   - WOT : C'est un module qui te permet de savoir l'indice de confiance du site que tu visites. Il t'affiche un message comme quoi le site est indésirable si c'est le cas.

   - AD-Block Plus : ce module te permet de bloquer l'affichage des publicités, te soulageant ainsi la page web, et d'infecter ta machine en suivant ces pubs...

   - NoScript : ce module bloque les applications fonctionnant par script, empêchant ainsi d'infecter ta machine. Tu peux autoriser les pages que tu visites au fur et à mesure si tu es sur qu'elle sont sans risque (en te fiant à l'icône de WOT par exemple)

   - Tu peux également utiliser d'autres module tels que Personas, AnyWeather, Destroy the Web... qui sont plus pour le look, ou le jeu. Tu as tous les modules disponibles ici

Pour sécuriser ton système :
Il te faut au minimum 1 antivirus, 1 par feu, 1 antimalware.

Pour l'antivirus, si tu n'en as pas, Je te conseille Antivir. Un très bon antivirus gratuit, simple d'utilisation.
Télécharge le ici
Mais attention, tu ne dois avoir qu'un seul antivirus sur ton ordinateur !

Pour le pare-feu, tu peux garder celui de Windows en vérifiant bien qu'il est activé, ou tu peux en utiliser un autre : Comodo.
Tutoriel, Découvrir Comodo. C'est un pare-feu assez compliqué à utiliser, si tu ne comprends pas tout demande, ou laisse le pare-feu Windows, ou installe un autre pare-feu.

Mais attention, tu ne dois avoir qu'un seul pare-feu actif sur ton ordinateur, si tu en installes un autre, désactive celui de Windows (par le panneau de configuration/Pare-feu)

Puis comme antimalware, je te conseille d'utiliser MBAM, et le mettant à jour avant chaque analyse.
Lance le régulièrement en scan rapide.

Si tu es sous Windows Vista ou 7, active l'UAC : 
Sous Vista
Sous Seven

Vaccine tes disques durs et supports amovibles avec USBFix :
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau
    * Clique sur "Vacciner"

Télécharge DelFix sur ton bureau
* Lance le et appuie sur le bouton Suppression
* Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

* Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.


Utilise ce programme pour optimiser ton ordinateur :

* Télécharge CCleaner.
* Installe le puis lance le.
* Clique sur Nettoyeur / Analyse / Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre / corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

pau7980 · Answer

c'est encore là :(:(:(:( 
c'est coriace ce machin, super démoralisant, du genre qui donne envie de réinstaller tout le système :( 

IE me redirige genre 1 fois sur 7 c'est pour ca que j'avais cru que c'était fini (ok j'admet, ya quand meme vraiment du mieux! en même temps je partais de loin) mozilla rame sévèrement, j'ai installé NoScript WOT et ADblock, tu penses que ca peut expliquer que ca tourne au ralenti ? en plus j'ai aussi des redirections avec firefox de temps en temps finalement...
J'ai quand meme suivi tout la dernière procédure 

c'est dingue, avec tout ce qu'on a enlevé j'ai l'impression de n'avoir laissé sur cet ordinateur que le strict nécessaire et il continue a galérer :D

Valuu · Answer

Allons bon...
Donc ça vient pas du navigateur...
Refait moi un ZHPDiag, je vais regarder si il reste quelque chose, sinon j'appelle du renfort.

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

pau7980 · Answer

Ca a l'air de se rapprocher sérieusement du cas évoqué dans ce sujet la: 

https://forums.commentcamarche.net/forum/affich-21827560-virus-redirection-google-inenlevable?page=3 

le rapport :
https://pjjoint.malekal.com/files.php?id=f80c2bb51071313

Valuu · Answer

Tu t'es réinfecté...
T'es pleins d'adwares. Fait attention aux logiciels que tu télécharges.

--------------------------------------------------------------------------------------
* Double-clique sur l'icône AD-Remover 
Déconnecte toi et ferme toutes les applications en cours 
* Au menu principal, clique sur Nettoyer 
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

--------------------------------------------------------------------------------------
MBAM
    * Télécharge Malwarebytes' Anti-Malware
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
   * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

pau7980 · Answer

c'est curieux, on se sert quasiment plus de cet ordi avec toute cette histoire, et je telecharge rien d'autre que les logiciels nécessaires pr le nettoyage ?!
et ne suis-je pas censée etre protégées par avast et compagnies contre les reinfections ? en fait l'infection de départ était due au fait que mes parents ( cest leur ordi) ont laissé périmer avast par mégarde et se sont retrouvés sans aucune protection pendant genre un mois, mais là tout est mis à jour...

Valuu · Answer

Un antivirus ne suffit pas.

Certaines infections (dont les adwares) ne sont pas repérées par eux.
En fait un adware, ça affiche de la pub, ça observe tes habitudes de navigations etc... mais tout ça est expliqué dans les clauses d'utilisations que tu acceptes en installant un logiciel. Souvent un Adware est installé à partir d'un programme tout à fait légal et légitime (par exemple MSN + en installait un à l'époque) Mais on a toujours la possibilité de décocher une case pour ne pas install le programme adware en plus.

Dans ton cas le programme est PCTuto, et Tuto Picasa.

pau7980 · Answer

bon je donne des ptites nouvelles
j'ai viré PCTuto et compagnie mais ca continuait, alors que tout le monde était vigilants avec les téléchargements etc.. donc j'ai scanné avec TDSSkiller
qui effectivement a trouvé un Rootkit.Win32.TDSS.tdl3(VolSnap) =>CURE
pour l'instant plus rien mais je me méfie ^^ en tout cas merci encore!!
bye

Valuu · Answer

Okay.

Je passe en résolu donc ?

--------------------------------------------------------------------------------------
Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

    * Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
    * Entre la description suivante :Post-désinfection
    * Clic sur le bouton Créer, puis sur le bouton OK.
    * Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système:

    * Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Exécuter en tant qu'administrateur sous Vista/Seven)
    * Clic sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir
    * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
    * Rends toi dans l'onglet "Autres options"
    * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
    * Les points de restauration système seront purgés sauf le dernier créé.

Télécharge DelFix sur ton bureau
* Lance le et appuie sur le bouton Suppression
* Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

* Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.

pau7980 · Answer

oui je pense qu'on peut mettre le sujet en résolu puisque presque une semaine après je n'ai toujours pas de redirections. En revanche il reste un petit point de détail, une "séquelle" en quelque sorte ^^ c'est que dans le menu démarrer=>programme, tous les les fichiers sont "vides", alors que quand on fait une recherche on les retrouve et ils sont effectivement présents. Une idée ? :)

Valuu · Answer

--------------------------------------------------------------------------------------
   * Télécharge RogueKiller sur le bureau
   * Quitter tous les programmes en cours
   * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
   * Sinon lancer simplement RogueKiller.exe
   * Lorsque demandé, tape 6 et valider
   * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
   * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

pau7980 · Answer

RogueKiller V5.2.3 [16/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Raccourcis RAZ -- Date : 23/06/2011 19:09:57 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 2 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 36 / Fail 0 Mes documents: Success 203 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 54 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\CdRom1 -- 0x5 --> Skipped Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Valuu · Answer

Est-ce réapparu ?

pau7980 · Answer

non ils sont encore  "vides"

Valuu · Answer

"tous les fichiers sont vides"
Tu veux dire les dossiers plutôt ?

Retélécharge ZHPDiag puis :

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
HiddenFix
---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

Puis refait moi un nouveau rapport ZHPDiag

pau7980 · Answer

https://pjjoint.malekal.com/files.php?id=cacc98142f1296

sinon ZHPdiag a planté je ne sais pas si il a quand même agit ?!

Oui les dossiers sont vides dans le menu démarrer, par exemple windows media, windowslive, avast, tout ce qui touche a HP...mais pas les plus récents comme malwarebytes et qques autres ne sont pas vides

Valuu · Answer

Met ZHPDiag à jour. Désinstalle le puis retélécharge le.
ta version date.

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.