Erreurs installations - infection suspectée Résolu/Fermé

Question

Bonjour, 

J'ai des erreurs systématiques lors d'installations ou de mises à jour de logiciels comme Adobe Reader indiquant qu'n fichier a été modifié ou qu'une archive est corrompue.
Par ailleurs L'ajout/supression de programmes du panneau de config plante systématiquement sur une erreur shell32.dll appwiz.cpl.

Je soupçonne une infection pour laquelle une aide serait la bienvenue.

Voici ce que dit HighjackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:06:17, on 04/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\umonit.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mfevtps.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Upsmon\Upsag_nt.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
C:\Program Files\Fichiers communs\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Fichiers communs\McAfee\SystemCore\mcshield.exe
C:\Program Files\Fichiers communs\McAfee\SystemCore\mfefire.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\KeePass Password Safe\KeePass.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\HighjackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Fichiers communs\McAfee\SystemCore\ScriptSn.20110610190744.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX520 Series sur JACKIE-2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P49 "Auto EPSON Stylus Photo RX520 Series sur JACKIE-2" /O31 "\JACKIE-2\EPSON_520_sur_Jackie" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Dimension4] C:\Program Files\D4\D4.exe
O4 - HKLM\..\Run: [Upsag_ap] "C:\Program Files\Upsmon\Upsag_ap.exe" -nt
O4 - HKLM\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O15 - Trusted IP range: http://88.173.249.125
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Détection de dispositifs) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
O16 - DPF: {5852F5ED-8BF4-11D4-A245-0080C6F74284} (isInstalled Class) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175027732921
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.ville.orange.fr/CO/activex/AxisCamControl.cab
O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} (FTMediaPlayer Class) - http://webtv.guidetv.orange.fr/resources/OCS_9418.cab
O16 - DPF: {A4150320-98EC-4DB6-9BFB-EBF4B6FBEB16} (DVM_IPCam2 Control) - http://88.173.249.125:8080/codebase/DVM_IPCam2.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://81.252.98.33:6001/activex/AMC.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://mysql.webex.com/client/T26L10NSP49EP8/event/ieatgpc.cab
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Service McAfee Personal Firewall (McMPFSvc) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: McShield - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\SystemCore\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\SystemCore\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\Fichiers communs\Mcafee\McSvcHost\McSvHost.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2011.SP1a\RpcAgentSrv.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service CANALPLAY - Canal+ Distribution - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Upsagent - UPS Monitor (Upsagent) - RPS S.p.a. - C:\Program Files\Upsmon\Upsag_nt.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WDDMService - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

clarisse13 · Answer

fais une analyse malwarebytes pour commencer ..

cabrier · Answer

Tu dois pouvoir réparer ton système par la commande (en mode commande) 
sfc /scannow 

car rien de particulier dans ton HJT
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

jacarchi94 · Answer

Merci clarisse13 et cabrier,

Pour le moment malwaerbytes tourne depuis 5h (c'est un vieux PC lent mais avec beaucoup de disques. Il a déjà trouvé 4 éléments infectés.

Je l'avais déjà exécuté hier il avait trouvé et mis en quarantaine plusieurs nuisibles. Voilà le log d'hier:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7848

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

02/10/2011 23:44:30
mbam-log-2011-10-02 (23-44-30).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 448456
Temps écoulé: 53 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\easyphp-5.3.2\apache\bin\ab.exe (Trojan.Swrort) -> Quarantined and deleted successfully.
d:\softs\Nero\incd337up.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero
ero55917.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero\NeroMix.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\PowerFTP\ico\goup.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Je posterais celui d'aujourd'hui dès que le scan sera terminé. Je suis étonné qu'il trouve encore des éléments infectés, celà me semble être le signe qu'un nuisible n'a pas été éliminé et est toujours à l'oeuvre.

En ce qui concerne sfc /scannow , j'ai aussi essayé cela hier. J'ai obtenu une erreur indiquant qu'uj fichier dans le DLL cache était corrompu. J'ai alors vidé ce cache (sfc /purgecache)), je me demande maintenant si c'était une bonne idée!

Scannow m'a alors demandé d'insérer le cd de xp professional, j'ai hésité vu que sur ce PC c'est xp family OEM qui est installé. Ceci étant je viens de voir un article de Microsoft qui permet de contourner le pb:
https://support.microsoft.com/en-us/help/897128/
Je pensais essayer dès que le scan sera fini, mais j'ai lu ici (https://leblogdeclaude.blogspot.com/2007/07/faire-un-scan-sfc-scannow.html que comme le CD d'origine correspond à une version antérieure à SP3 (SP2 pour le mien, on risque des problèmes, donc je suis perplexe.

Merci de vos conseils.

cabrier · Answer

Bonsoir jacarchi94.

Effectivement MBAM a détecté mais pas nettoyé.

On va analyser ta machine mais d'abord :

Dépôt de fichiers:
* Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens : 
cijoint ou pjjoint
* Tu cliqueras ensuite sur Parcourir et chercheras  le fichier du rapport, je t'indiquerai ou il est.
* Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier". 
Un lien de cette forme :  http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
sera ajouté dans la page. 
* C'est ce lien que tu auras à me transmettre et uniquement cela.
--------------------------

Analyse : 

*Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou depuis ce lien si le premier a des soucis: 
http://www.moncompteur.com/compteurclick.php?idLink=18026 
/!\Il est très important de l'enregistrer sur le bureau / !\ 
*Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
* N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement" 

* Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".

* Clique alors sur la loupe pour « lancer le diagnostic ».

* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.

* Laisse l'outil travailler, il peut être assez long. 

* Ferme ZHPDiag en fin d'analyse. 

* Cherche le dossier où est installé ZHPDiag (en général C:\ZHP\). 

* Transmet moi le fichier comme indiqué en préambule  "Dépôt de fichier"

A+

jacarchi94 · Answer

Merci Cabrier 4.

Je fais cela dès que le scan de malwarebytes que j'ai lancé ce matin se termine. Il tourne toujours après 10h, il ne lui reste plus qu'un disque à scanner.

Mon antivirus est MacAfee, et hier il a détecté un élément infecté : TollNirCmd et a corrigé.

A+

jacarchi94 · Answer

Bonsoir cabrier

J'ai relancé mbam suite à la suggestion de clarisse13 et parceque apparament ce sue j'avais fait seul ne mavait pas débarassé du problème, donc j'ai décidé de suivre les conseils que l'on pourra m'apporter. Il tourne depuis 13h sans avoir encore terminé et a détecté 7 éléments infectés. Donc à demai pour la suite.

En essayant seul de me débarrasser du problème j'ai effectivement lancé combofix. Un scan seulement pas d'action de correction. Le rapport est ici:
http://www.cijoint.fr/cjlink.php?file=cj201110/cij315SDxK.txt

Je n'ai pas lancé consciemment un émulateur de cd mais il est possible que cela fasse partie du package Western Digital WD SmartWare que j'ai installé pour surveiller mon dd externe

A+

jacarchi94 · Answer

Bonjour cabrier,

Je n'aurais pas le nouveau rapport de MBAM, mon PC a planté sur un écran bleu cette nuit, et a d'ailleurs recommencé ce matin.

Je lance zhpdiag et je croise les doigts.

A+

jacarchi94 · Answer

Re bonjour cabrier. 

Le rapport zhpdiag.txt est ici http://www.cijoint.fr/cjlink.php?file=cj201110/cijK4aWBc4.txt 

zhpscan.txt est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cij0g1bCbr.txt 

merci d'avance. 

A+

cabrier · Answer

jacarchi, Dépôt de fichiers: * Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens : cijoint ou pjjoint * Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est. * Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt sera ajouté dans la page. * C'est ce lien que tu auras à me transmettre et uniquement cela. --------------------------------- maintenant : * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. *Lance le, *Clique sur [Suppression] puis patiente le temps du scan. *Quand il a fini, un rapport s'ouvrira : ferme le. *Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt] * Transmet moi le lien du fichier comme indiqué en préambule "Dépôt de fichier" *Rappel des dépôts : cijoint ou pjjoint Note : A+

jacarchi94 · Answer

Merci cabrier,

Le rapport d'AdwCleaner est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijL8KvNwq.txt

A+

cabrier · Answer

Re,

* Télécharge USBFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore-le et désactive le temporairement.
http://www.teamxscript.org/usbfixTelechargement.html
* Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
* Cherche le fichier C:\Ad-Remover.txt 
* Transmet moi le fichier comme indiqué en préambule  "Dépôt de fichier"

ATTENTION : Ceci ne fait qu'effectuer une recherche de malwares, l'éradication se fera après si nécessaire.

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 

Tutoriel "Recherche"
Aide en images : http://www.teamxscript.org/usbfixScan.html

cabrier · Answer

Tu pourra aussi essayer de faire ceci :

Scandisk :

= démarrer
= poste de travail
= clic droit sur ton disque dur (en général C:) ==> propriétés
= onglet outils
= vérifier maintenant ==> tu coches les 2 cases ==> démarrer

jacarchi94 · Answer

cabrier,

Le rapport de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijLSL0vbK.txt

Je n'ai pas le fichier C:\Ad-Remover.txt que tu demandes.

En ce qui concerne le disque je vois des erreurs dans l'observateur d'évènements système:
Avertissement source:Disk id evèn. 51
Une erreur a été détectée sur le périphérique \Device\Harddisk2\D au cours d'une opération de pagination.
C'est sur ce disque que j'ai mis le fichier de pagination de Windows. Je vais donc faire le scandisk que tu me conseilles sur C: et sur ce disque E:. Je te teins au courant

En ce qui concerne appwiz.cpl, j'avais déjà tenté la manip, le symptôme que je constate en ouvrant le panneau de "Ajout suppression de programmes" , il s'ouvre, met très très longtemps à afficher la liste des programmes (il faut dire que la mule est bien chargée !) et plante au moment où je clique sur un programme. Le symptôme est le même que je lance par le panneau de config ou à la main par appwiz.cpl.
Je vais essayer de nouveau après le scan des disques, je te tiens au courant.

A+

cabrier · Answer

Passe USBFix en mode [Suppression] il t'a trouvé quelque chose !
Puis repasse le en mode Vaccination

Mais je soupçonne fortement une erreur disque.

jacarchi94 · Answer

Bonsoir cabrier,

Les résultats des chkdsk enregistrées dans l'observateur d'évènements sont ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijQ3mJg2m.txt.

Que je lance par le panneau de contrôle, par appwiz.cpl  ou par control appwiz.cpl , la fenêtre d'ajout/suppression s'ouvre et soit au bout d'un moment sans rein faire soit après avoir cliqué pour sélectionner une application ça plante.

L'erreur enregistrée dans l'observateur d'évènement est: application error id 1000: 
Application défaillante rundll32.exe, version 5.1.2600.5512, module défaillant appwiz.cpl, version 5.1.2600.5512, adresse de défaillance 0x000270d1.

Apparemment l'adresse est toujours la même.

Je vais lancer usbfix en mode [Suppression] de suite. Je te tiens au courant

Merci de tes tuyaux.

A+

jacarchi94 · Answer

cabrier,

le résultat du mode suppression de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijZCBuMTh.txt

Bonne soirée.

A+

jacarchi94 · Answer

cabrier, 

J'ai identifié une anomalie sur mon PC dont je me demande si elle n'a pas un rapport avec le problème d'ajout/suppression de programme

Comme signalé dans mon premier message tout a commencé par une erreur d'installation d'Adobe reader 10, une erreur est survenue pendant l'installation (archive corrompue) 

Adobe reader ne figure pas dans les programmes listés par ajout/suppression (ni dans la fonction de désinstallation de programmes de CCleaner qui elle ne plante pas). Il ,y a toutefois "Japanese Fonts Support For Adobe Reader X" dans le liste de programmes de CCleaner, je ne sais pas pour celle de l'ajout/suppression de Windows, ça plante avant que j'arrive à voir..

Par contre il y a une entrée dans le menu démarrer sans l'icône Adobe et quand je clique dessus j'ai l'erreur: "cette action n'est valide que pour les produits actuellement installés". Si je double clique sur un fichier pdf ... il s'ouvre aver Adobe Reader 10 et il y a bien un répertoire Reader 10.0 sous Adobe dans Program Files avec un AcroRd32.exe qui se lance si je double clique dessus.

Donc Adobe Reader est "a moitié" installé sans possibilité de le désinstaller.

J'ai même l'impression qu'il est "a moitié" installé 2 fois dans Program Files certains fichiers ou répertoires sont doublés avec u suffixe(2)

 Cela ferait-il planter ajout/suppression?

A+

cabrier · Answer

Les résultats des chkdsk enregistrées dans l'observateur d'évènements sont ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijQ3mJg2m.txt.

Ton fichier est inaccessible ! (mauvaise copie du lien ?)

As-tu vérifié si tu n'avais pas une sauvegarde sytème juste avant l'install de Adobe Reader. Si oui fais la restauration, nous verrons ensuite !

A+

jacarchi94 · Answer

Bonjour cabrier,

Nouvel essai pour la transmission des résultats du chkdsk ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijvxFqDaI.txt.Ce nouveau lien marche pour moi.

En ce qui concerne une éventuelle restauration, avant les tentatives d'installation d'Adobe Reader, j'avais fait des tentatives d'application des mises à jour automatiques qui échouaient en indiquant qu'une dll avait été modifiée, raison pour laquelle j'ai essayé de supprimer et réinstaller Adobe Reader et raison pour laquelle j'ai suspecté une infection.
Mon point de restauration le plus ancien date du 2 octobre et est intitulé Software Distribution Service 3.0 donc probablement créé lors d'une mise à jour de Microsoft.

Si je restaure à cette date, je suppose qu'il va falloir refaire toutes les manips que nous venons de faire. Exact?

cabrier · Answer

Alors c'est parfait ! 

Je pense que le point de restauration a été fait juste avant l'install de Software Distribution Service. Ce programme f...t le b...l sur ton PC (a éviter!) 
Si tu peux faire une restauration juste avant ce sera parfait. 

Sinon oui, ce que nous avons fait risque d'être en partie perdu mais ce n'est pas grave on ira maintenant au + direct ! 

Essaie le. 

Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Au fait ton lien chkdsk ne fonctionne toujours pas.

jacarchi94 · Answer

cabrier,

C'est malheureusement le point de restauration le plus ancien sur mon PC. Comme je n'avais plus assez de place pour défragmenter et que tout allait bien j'avais fait le ménage des points de restauration :-(

J'ai lu que à,partir du moment où Software Distribution Service toute install de Crosoft peut produire un point de restauration sous ce nom. Je crains que SDS soit là depuis plus longtemps.

A la date du 2/10, je vois les fichiers KB2562937.log, KB2566454.log, KB2559049-IE8.log, KB2570947.log, KB2570222.log, KB2616676-v2.log, KB2536276-v2.log qui tous contiennent plusieurs lignes d'erreur du genre:

6.032: Le programme d'installation du KB2536276-v2 a rencontré une erreur :  Le fichier update.ver n'est pas valide.


Le lien vers mon fichier marche ... presque. Comme je n'ai pas mis d'espace il a inclus ".Ce" à la fin du lien. Si on supprime ces trois caractères dans la barre d'adresse du navigateur ça fonctionne. Désolé.

Il faut que je m'absente un moment.

Sauf avis contraire de ta part, je me propose tout à l'heure de prendre un point de restauration de la situation actuelle puis de tenter la restauration.

Merci pour tout.

cabrier · Answer

Oui, j'ai vu le scandisk. 

Des erreurs d'écriture....!!! peuvent expliquer tes symptômes à propos du shell32.dll appwiz.cpl qui faut arriver à remplacer par des fichiers du même type provenant d'un système sain ou partir de ton CD SP2 (je ne pense pas que le SP3 ait modifié ces fichiers, au pire tu réinstallera le sp3).

De toute façon tu avais quelques malwares que nous traiterons rapidement après.

Essaie donc la restauration système
Puis éventuellement le sfc /scannow avec ton CD SP2
Après lance AdwCleaner en mode Suppression,
Puis ZHPDiag

et poste moi les 2 rapports et tiens moi au courant.
A+

jacarchi94 · Answer

Cabrier,

La restauration n'a pas fonctionné. Le message dit que la restauration à ce point est impossible qu'il faut en choisir un autre. C'est probablement parce que j'avais fait une restauration après ce point.

Le point suivant cette restauration a été fait avant la désinstallation d'Adobe Reader que je n'arrivais pas à mettre à jour. Je me demande si ça vaut le coup de le tenter puisque le problème était déjà présent.

Je commence à craindre qu'il faille en passer par une réparation complète de Windows, je n'ai jamais fait cela et je ne sais pas si ce serait efficace dans ce cas ni si il me faudra réinstaller tout ou partie de mes logiciels.

Ton avis?

A+

cabrier · Answer

Hello jacarchi, 

Essaie le sfc /scannow, au point ou en est tu n'as pas grand chose à perdre. 

Une réinstallation de Windows implique :

- la sauvegarde préalable de TOUTES tes données personnelles. 
- un formatage de la partition système sur laquelle est installé Windows, 
- la réinstallation de windows et de ses mises à jour, 
- la réinstallation de tous tes logiciels. 

L'avantage : tu retrouve une installation totalement "clean". 
A toi de voir. 

J'ajoute qu'il serait dangereux de réinstaller un système d'exploitation sans avoir fait un formatage. En effet, si des secteurs de ton disque sont défectueux (ce qui me semble plausible) le formatage les neutralisera de façon a ce qu'ils ne soient plus utilisés.

 A+ 
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

jacarchi94 · Answer

Bonsoir cabrier,

Je suis conscient des implications de la réinstallation, et je préfèrerais éviter vu le temps que ça me prendra même si le résultat serait plus propre!

Les erreurs disques signalés par le gestionnaire d'évènement sont sur un autre disque que celui qui porte C: et Windows. J'ai fait un chkdsk sur tous et je pensais que chkdsk traitait les secteurs défectueux en déplaçant les fichiers.

J'ai fait un sfc /scannow au début des opérations de ce fil, mais il m'a demandé un cd de xp pro que je lui ai fourni alors que c'est xp home qui est installé sur cette machine et il s'est mal terminé. Je pense que ça n'a rien arrangé.

Je comprends maintenant que sfc /scannow invalide les points de restauration car il y modifie des dlls dans ces points c'est probablement la cause de mon échec de restauration.

Je comprends également que faire un sfc /scannow à partir d'un CD qui est d'une version plus ancienne peut entraîner des instabilités.

Je planifie donc de refaire le sfc /scannow en le forçant à me demander le cd de xp home selon cette méthode:
https://support.microsoft.com/en-us/help/897128/
Et de fabriquer avec nLite un cd à partir de mon original qui intègre au moins le sp3 et si possible tout ou partie des modifications appliquées depuis pour le donner à lire à sfc . Cela va prendre un certain temps!

Des commentaires?

A+

cabrier · Answer

Non, bien vu, et je vois avec plaisir que tu es capable d'engager ces procédures un peu complexes tout seul. C'est bien !

A+

jacarchi94 · Answer

Bonjour cabrier,

ces derniers jours j'ai été assez occupé et donc je n'ai pas donné beaucoup de nouvelles.

Je crains de devoir abandonner le nettoyage de ce PC et la remise en état des Windows car il devient de plus en plus instable. Les écrans bleus se multiplient, les erreurs diverses aussi, particulièrement lors de mises à jour de logiciel, et il est de nouveau redevenu très lent.

Outre une infection possible, il souffre probablement de problèmes matériels. Des erreurs disques sont effectivement détectées, et je soupçonne également la mémoire que j'ai rajoutée il y a environ 6 mois.

Comme le PC est très ancien, outre l'usure de certains composants, les performances sont un peu dépassées! Je pense que la solution va être de le remplacer.

Il me semble donc que le plus raisonnable est de considérer ce fil comme clos même si la question n'est pas complètement résolue

Merci pour tout

Erreurs installations - infection suspectée

27 réponses

Discussions similaires