probleme avec system fix Résolu/Fermé

Question

Bonjour, 
Depuis hier gros sousci sur ma machine.
J'ai envireon 15 fenetres qui m'indiquent un probleme de disque dur puis une fenetre System Fix qui s'ouvre et me propose soit de Scanner mon PC soit de redemmarrer.
Il n'y a plus aucune icone sur mon bureau qui a lui aussi disparu.
si je fait "Démarrer" puis "Tous les programmes" c'était vide.
Après plusieurs démarrages, je n'ai plus rien dans "Démarrer".
Ma config : 2 Disques durs  SATA
C: pour le Système et les prgrammes
D: pour les données (y compris "mes documents" pour les 2 utilisateurs).
J'ai un disque de secours avec Win 7 et un antivirus.
J'ai donc booté avec ce disque et regardé l'empleur des dégats.
Grosse frayeur, les données de D semblaient avoir disparues mais place dispo 50 Go sur 300 m'a mis la puce à l'oreille et en lisant des posts, j'ai lu que le SPY avait du cacher les fichiers. 
J'ai changé l'affichage des dossiers, c'était bien le cas et j'ai ensuite décoché "caché" dans les options de mes fichiers. J'ai don récupéré mes données.
Pour le C, j'ai lu sur un autre post les manips pour réparrer, mais vu que je ne peux rien exécuter depuis ce systéme je suis un peu perdu.
Puis-je le faire depuis mon disque de secours ou bien faut-il que je fasse un cd de boot?
Merci de m'avoir lu jusque là.



Configuration: Windows xp / Internet Explorer 8.0

Utilisateur anonyme · Accepted Answer

Bonjour

*	Télécharger sur le bureau RogueKiller
*	Quitter tous les programmes en cours 
*	Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
*	Sinon lancer simplement RogueKiller.exe 
*	Lorsque demandé, taper 1 et valider 
*	 Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),  colle son contenu dans la réponse   
*	Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

jacques.gache · Answer

bonjour, arrives tu  à démarrer en mode sans echec avec prise en charge réseau  avec F8 dés le démarrage du pc , si oui dans ce mode tu aura internet et dans ce ca stu reviens ici et tu passeras roguekiller  

1) pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\  
  
.Cliques sur Démarrer 
.Cliques sur Arrêter 
.Sélectionnes Redémarrer et au redémarrage 
.Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît 
.Utilises les touches de direction pour sélectionner mode sans échec avec prise en charge réseau 
.puis appuis sur ENTRÉE 
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre 
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude  




2) reviens sur le forum et postes le rapport de roguekiller 

* Télécharge sur le bureau RogueKiller (par tigzy)  
* Quitte tous tes programmes en cours  
* lances le : Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur  
* Lorsque demandé, tape 1 et valide  
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. 



 Perso je ne sais peut être pas grand chose, mais si le peu que je sais p­eut aider et bien,  
 je veux bien le partager avec toi  !!

hobywan · Answer

Bonjour,
Merci de ces 2 réponses rapides.
Helas, meme en mode sans echec plus rien n'est accessible.
J'ai bien lancé Roguekiller depuis mon disque de secours mais les infos concernent seulemen ce disque donc sans interêt à mon sens.

hobywan · Answer

Bonjour,
Non, je me suis mal expliqué.
J'ai un dd SATA de secours avec Win7 installé.
Etant donné que le lancement de mon windows XP d'origine ne fonctionne pas (même en mode sans echec avec prise en charge reseau), j'ai retiré le DD de données de mon PC et j'ai installé a la place le DD de secours et j'ai booté avec.
Je voie donc mon acien disque Système et ses fichiers, mais je ne pense pas que roguekiller donne des infos sur mon ancien disque systeme.
Je joint tout de meme le rapport.

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Bureau [Droits d'admin]
Mode: Recherche -- Date : 20/11/2011 16:10:35

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sa.windows.com
127.0.0.1 se.windows.com
127.0.0.1 ie.search.msn.com
127.0.0.1 wustat.windows.com
127.0.0.1 wutrack.windows.com
127.0.0.1 catalog.microsoft.com
127.0.0.1 sls.microsoft.com

Termine : << RKreport[1].txt >>
RKreport[1].txt

hobywan · Answer

Re bonjour,
Pour en avoir le coeur net, j'ai tenté de rebooter sur mon ancien disque systeme sel en sans echec avec prise en charge reseau mais j'ai choisi la session "administrateur".
Là, j'ai encore acces a ie et au gestionaire de fichiers.
voici donc le rapport de roguekiller:
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 20/11/2011 17:23:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : exNwQtWiOuvLVcr.exe (C:\Documents and Settings\All Users\Application Data\exNwQtWiOuvLVcr.exe) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

hobywan · Answer

Bon voila,
J'ai fait la mainio avec le CD de BOOT (très utile à garder soit dit en passant).
J'ai le rapport OTL mais visiblement le lien ne fonctionne pas.
Je l'envoi par free.
voici le lien.
http://dl.free.fr/eaoU9boZW

Utilisateur anonyme · Answer

Redemarre sur Reatogo , relançe OTLPE

 sous Custom Scan box Image copie_colle le contenu du cadre ci dessous

[en commençant bien à :OTL jusqu'à [emptytemp] inclus et cette fois ci clic RUNFIX

    :OTL
  IE - HKU\Sabine_ON_C\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found     
[2011/11/14 14:12:26 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Sabine\Application Data\PriceGong     
[2011/11/13 05:50:45 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Jeff\Application Data\PriceGong     
[2011/11/14 14:12:26 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Sabine\Application Data\PriceGong     
IE - HKU\Jeff_ON_C\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)     
IE - HKU\Jeff_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - Reg Error: Key error. File not found     
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)     
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)     
O3 - HKU\Jeff_ON_C\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)     
O3 - HKU\Sabine_ON_C\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuz0.dll (Conduit Ltd.)     
 O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled [2011/11/19 07:27:55 | 000,000,000 | -H-D | M] 
 [2011/11/19 07:37:01 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\Jeff\Menu Démarrer\Programmes\System Fix 
 [2011/11/19 07:49:01 | 000,000,856 | -H-- | M] () -- C:\Documents and Settings\Jeff\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk 
 [2011/11/19 07:37:07 | 000,000,838 | -H-- | M] () -- C:\Documents and Settings\Jeff\Bureau\System Fix.lnk 

:files
C:\Documents and Settings\All Users\Application Data\exNwQtWiOuvLVcr.exe
  
 :commands
 [emptytemp]



Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt. << poste le


 Redemarre sur windows et fais moi un bref résumé.

hobywan · Answer

bon, voila le rappot OTL généré.

http://dl.free.fr/aqsIP3U17

Merci pour la suite.

Utilisateur anonyme · Answer

*	Quitter tous les programmes en cours 
*	Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
*	Sinon lancer simplement RogueKiller.exe 
*	Lorsque demandé, taper 1 et valider 
*	 Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),  colle son contenu dans la réponse   
*	Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Comment se comporte ton pc??

hobywan · Answer

Oups! pardon je n'ai pas lu la dernière ligne.
J'ai redémarré Windows su le PC malade, Bureau toujours vide et Menu programmes vide lui aussi. C'est la meme chose pour les 2 utilisateurs.
Pour info, je communique avec vous depuis un mini-PC qui me permet de suivre les manips pendant que j'essaie de sauver mon bon PC de Bureau.

Utilisateur anonyme · Answer

Fais

https://forums.commentcamarche.net/forum/affich-23701311-probleme-avec-system-fix#11

et ensuite

# Quitter tous les programmes en cours
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
#  lancer  RogueKiller.exe
# Lorsque demandé, taper 6 et valider
#  Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),  colle son contenu dans la réponse   
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Normalement tes dossiers et fichiers doivent revenir.

hobywan · Answer

Pour Jacques,
Mon XP est tout ce qu'il y a de plus légal.
Le 7 sur mon disque de secours est bien douteux comme tu le dit, mais il ne me sert qu'en cas de secours comme ici.

hobywan · Answer

Pour Nanard,
J'ai lance Roguekiller avec l4option 6
Il tourne depuis un moment et affiche "attribute restored" a plein de fichiers.
Je laisse tourner la nuit et je vous tiens au courant demain.
Bonne nuit et encore merci.

hobywan · Answer

Bonjour,
Voila le resuktat de RK pendant la nuit.
Je le poste mai je doit aller bosser, si vous etes d'accord, je reprend les manips ce soir.
Bonne journee.
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 20/11/2011 23:41:14

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 3 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 39202 / Fail 0
Menu demarrer: Success 123 / Fail 0
Dossier utilisateur: Success 62 / Fail 0
Mes documents: Success 105 / Fail 0
Mes favoris: Success 1 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 16687 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[G:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

hobywan · Answer

J'ai eu le temps de relancer Win XP normalement sur le PC malade.
Il y a un peu de progrès.
Si je fait "demarrer" " Programmes", j'ai la liste de mes programmes qui est revenue, mais quand je choisit une application, j'ai (vide) sur le raccourci et je ne peux pas la lancer. C'est pareil pour tous les programmes.
D'autre part je n'ai plus aucune icone sur le bureau, meme pas le minimum de windows et le clik droit sur le bureau ne fonctionne pas.

hobywan · Answer

Bonsoir,
De retour a la maison, je viens voir si quelqu'un peut m'aider pour la suite des opérations.
Merci.

Utilisateur anonyme · Answer

Telechargement de Taskbar Repair Tool Plus
Lances le programme.
A Tsakbar probléme tu choisis===>Taskbar is Missing

Clique sur Repair.

Tes icones sur le bureau sont revenues??

hobywan · Answer

bonsoir,
visiblement je ne peux pas telecharger task bar...
Jai un message d'erreur.
un autre lien peut etre?
Merci

hobywan · Answer

RE  
j'ai recupere tasbar,je l'execute mais j'ai juste une fenetre dos vide qui s'ouvre puis se ferme sans messages.
Je n'ai pas de choix pour "missing"

Utilisateur anonyme · Answer

Télécharges et installes Windows Repair (All-In-One)

**Lances le programme et choisis l'onglet start repairs
*Coches custom Mode et clic sur start
*Le programme va te demander de créer un point de restauration===>Acceptes
*Clic sur Unselect All et coches seulement la case Repair Icons
*Clic sur start.
Le programme va effectuer la réparation .Redémarres ton pc.

hobywan · Answer

re 
J'ai fait win repair mais sans succes,
toujours pas d'icone
Clik droit sur bureau innactif
Gestionnaire des taches désactivé par "administrateur"
Je galere car je n'ai meme pas l'explorateur de fichiers
De plus le PC est extremement lent
Au secours...

Utilisateur anonyme · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.   
* Héberge le rapport C:\Combofix.txt  sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : Tuto Combofix

hobywan · Answer

re
Avant de me lancer dans combofix,
une idee me traverse l'esprit : j'ai fait un point de restauration il y a 1 semaine, 
n'est il pas possible de revenir a ce point?
Merci.

Utilisateur anonyme · Answer

tu peux voir si la restauration fonctionne et si aprés ton probléme est toujours présent tu bascule avec combofix.

hobywan · Answer

youpii
mon petit eclair de genie a fonctionne (toute modestie mise a part)
j'ai tout retrouvé :
icones
prgrammes dans le menu demarrer
bureau et son clik droit pour les propriétés
je n'ai qu'une peur, cest que le "system fix" soit toujours en embuscade.

hobywan · Answer

Je suppopse qu'il faut que je passe un coup de roguekiller et vous envoie le rapport?

hobywan · Answer

voila le rapport RogueKiller V6.1.10 [18/11/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Jeff [Droits d'admin] Mode: Recherche -- Date : 22/11/2011 00:05:12 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Roguekiller ne montre pas system fix .
Postes un rapport zhpdiag.

hobywan · Answer

Bonsoir Nanard,
De retour duboulot, je reprend les affaires.
Je n'ai pas trouvé zhpdiag meme dans la rubrique telechargement.
C'est quoi cette bete?
Merci.

Utilisateur anonyme · Answer

C'est quoi cette bete? 
Une belle salop***e


On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

hobywan · Answer

ok merci
voici le rapport
http://pjjoint.malekal.com/files.php?id=ZHPDiag_r14m7c13c6t76g8v13n69y9k12j8d5d9j614h12o8k15

Utilisateur anonyme · Answer

Tu est infecté par un rootkit   (Trojan.NtRootKit.138)  et le MBR est touché.Suit le lien.

https://forums.commentcamarche.net/forum/affich-23701311-probleme-avec-system-fix?page=2#26

hobywan · Answer

re
Ouf! ca a pris du temps et le PC a reboote 2 fois avant que Combofix passe en entier.
Voici le lien du rapport.
 http://pjjoint.malekal.com/files.php?id=h11o14g8k12n10z10s127c6g11e11u14f1412g9y6k15x12w7n11

Utilisateur anonyme · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log

Postes le rapport.

hobywan · Answer

Bonsoir,
voici le rappoert mais je croie qu'il y a un probleme.
Merci.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6L200S0 rev.BANC1G10 -> Harddisk0\DR0 -> \Device\00000069 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
error: Read  Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.

Utilisateur anonyme · Answer

error: Read Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.

La plupart du temps ce message survient pour t'indiquer que le matériel auquel vous tentez d'accéder est endommagé ou défectueux.Pour ton cas il s'agit de ton DD.

On va tout de même vérifier un point.

*  Télécharger aswMBR.exe sur votre bureau.
*  Double cliquez sur le aswMBR.exe pour l'exécuter
*  Cliquez sur le bouton «Scan» pour commencer le balayage
*  Cliquez sur Save log pour sauvegarder le rapport
*  Enregistrez le aswASW.log sur le bureau
*	Poster le rapport sur le forum.

hobywan · Answer

Re
j'ai telecharge aswmbr, 
Je le lance mais rien ne se passe. Pas de message ni de fenetre.
Merci.

hobywan · Answer

par contre sur mon Bureau il y a un raccourci vers MBRCheck. 
Je l'ai lancé et il me trouve un MBR Code Fakeed sur mes 2 DD. 
Il me propose  :  
1  Dump the MBR of a physical disk to file  
2 Restore the MBR of a physical disk with standard boot code 
3 Exit

hobywan · Answer

Pour verifier si le programme aswMBR fonctionnait, je l'ai chargé et lancé sur mon MINIPC que j'utilise pour communiquer avec vous. Je sais que c'est un peu hors sujet et qu'il vaut mieux se concentrer sur une seule machine, mais il m'a sortis des erreurs, voici le Log. Dois-je prévoir de m'occuper de celui-la ensuite? aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-11-23 22:09:34 ----------------------------- 22:09:34.853 OS Version: Windows 6.1.7600 22:09:34.853 Number of processors: 2 586 0x1C02 22:09:34.868 ComputerName: JEFF-PC UserName: Jeff 22:09:36.007 Initialize success 22:09:50.395 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 22:09:50.395 Disk 0 Vendor: Hitachi_ FB2O Size: 152627MB BusType: 3 22:09:52.439 Disk 0 MBR read successfully 22:09:52.439 Disk 0 MBR scan 22:09:52.454 Disk 0 Windows 7 default MBR code 22:09:52.470 Disk 0 scanning sectors +312576705 22:09:52.548 Disk 0 scanning C:\Windows\system32\drivers 22:09:59.771 Service scanning 22:10:00.707 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32 22:10:01.377 Modules scanning 22:10:15.589 Disk 0 trace - called modules: 22:10:15.620 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll iaStor.sys spii.sys >>UNKNOWN [0x83f08938]<< 22:10:15.636 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84d84030] 22:10:15.652 3 CLASSPNP.SYS[8762559e] -> nt!IofCallDriver -> [0x84917340] 22:10:15.667 5 ACPI.sys[86f593b2] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84359028] 22:10:15.698 Scan finished successfully 22:10:32.593 Disk 0 MBR has been saved successfully to "C:\Users\Jeff\Desktop\MBR.dat" 22:10:32.609 The log file has been saved successfully to "C:\Users\Jeff\Desktop\aswMBR.txt"

Utilisateur anonyme · Answer

Non il n'y a aucune erreur sur ton minipc :) Le MBR est clean.Revenons au pc "malade".


*cliquer sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
*Sous XP : "%userprofile%\Bureau\mbr" -f
*Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
*Postez le rapport

hobywan · Answer

Re
Négatif, j'ai touours l'erreur sur la dernière ligne du Log.
J'ai bien pris soin de l'effacer avanr d'exécuter la commande.
Le voila
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6L200S0 rev.BANC1G10 -> Harddisk0\DR0 -> \Device\00000069 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
error: Read  Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.

Utilisateur anonyme · Answer

Post un nouveau rapport zhpdiag. 
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

hobywan · Answer

Re
Nouveau rapport ZHPDIAD
Il etait a jour.
Voici le rapport.

http://pjjoint.malekal.com/files.php?id=ZHPDiag_b11c15x8m10l6b12s7j5e13e5k9e13e7k8u8d115s11u12k14

hobywan · Answer

Excuse moi de reposer la question, mais la piste de MDBCheck n'est-elle pas intéressante à suivre?

Utilisateur anonyme · Answer

Je n'aime pas trop utiliser Mbrcheck car il fait souvent planté le systéme.



1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}     
O64 - Services: CurCS - ??/??/???? - C:\DOCUME~1\Jeff\LOCALS~1\Temp\iMSPCLOj.sys (.not file.) - iMSPCLOj (iMSPCLOj)  .(...) - LEGACY_IMSPCLOJ     
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\pricegong] 
[HKLM\Software\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}]     
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]     
[HKLM\Software\Classes\Installer\Features\3D7B197543B881247905A6E8540DDA23] 
[HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23] 
O23 - Service:  (FreeMi UPnP Media Server) . (...) - C:\Program Files\FreeMi UPnP Media Server\FreeMi UPnP Media Server Service\FreeMiService.exe (.not file.) 
O44 - LFC:[MD5.791751819BCD4D5EF2C2678BEF9C6E8B] - 23/11/2011 - 22:20:58 ---A- . (...) -- C:\statusclient.log   [968] 
M3 - MFPP: Plugins - [Jeff] -- C:\Documents and Settings\Jeff\Application Data\Mozilla\Firefox\Profiles\fa5v373o.default\searchplugins\conduit.xml     
M0 - MFSP: prefs.js [Jeff - fa5v373o.default] http://search.conduit.com 
M2 - MFEP: prefs.js [Jeff - fa5v373o.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.7.0.6 (.Conduit Ltd..)     
O8 - Extra context menu item: Search the Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html     
[HKCU\Software\SweetIM]     
[HKCU\Software\conduitEngine]     
[HKLM\Software\SweetIM]     
O43 - CFD: 29/09/2011 - 20:22:30 - [1273536] ----D- C:\Program Files\Conduit     
O43 - CFD: 29/09/2011 - 20:22:30 - [1900776] ----D- C:\Documents and Settings\Jeff\Local Settings\Application Data\Conduit     
O43 - CFD: 06/11/2011 - 12:10:56 - [4638090] ----D- C:\Documents and Settings\Jeff\Local Settings\Application Data\ConduitEngine     
O69 - SBI: C:\Documents and Settings\Jeff\Application Data\Mozilla\Firefox\Profiles\fa5v373o.default\searchplugins\conduit.xml     
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("CT2504091.HomepageBeforeUnload", "http://search.conduit.com/?ctid=CT2504091&SearchSource=13"); 
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="); 
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("CT2504091.TBHomePageUrl", "http://search.conduit.com/?ctid=CT2504091&SearchSource=13"); 
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("CommunityToolbar.ConduitHomepagesList", "http://search.conduit.com/?ctid=CT2504091&SearchSource=13"); 
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"); 
O69 - SBI: prefs.js [Jeff - fa5v373o.default] user_pref("browser.startup.homepage", "http://search.conduit.com/?ctid=CT2504091&SearchSource=13"); 
O69 - SBI: SearchScopes [HKCU] {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} [DefaultScope] - (Web Search) - http://search.conduit.com 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] 
[HKLM\Software\Classes\Conduit.Engine] 
[HKLM\Software\Classes\Toolbar.ct2504091] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKLM\Software\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A}]     
[HKCU\Software\conduitEngine]     
[HKCU\Software\SweetIM]     
[HKLM\Software\SweetIM]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] 
C:\Program Files\Conduit     
C:\Documents and Settings\Jeff\Local Settings\Application Data\Conduit     
C:\Documents and Settings\Jeff\Local Settings\Application Data\ConduitEngine     
C:\Documents and Settings\Jeff\Application Data\Mozilla\Firefox\Profiles\fa5v373o.default\SearchPlugins\conduit.xml     
 M3 - MFPP: Plugins - [Jeff] -- C:\Documents and Settings\Jeff\Application Data\Mozilla\Firefox\Profiles\fa5v373o.default\searchplugins\ask.uk.xml 
EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

hobywan · Answer

Bonjour,
voila le rapport de ZHPDIAG
 http://pjjoint.malekal.com/files.php?id=k11n11u5i6p5p5z10e12y8t9v5v8k9y5r11z10s13d15x12m8

Merci

hobywan · Answer

oui tjrs erreur sur MBR et impossible de lancer ASWMBR. 
Je précise que je redemarre le PC entre chaque étape.
J'ai essayé en mode sans echec en tant u'administrateur, idem.
Merci.

Utilisateur anonyme · Answer

Quand tu écris "erreur sur MBR "tu veut dire lorsque tu lances le programme Gmer??
Ou alors l'erreur a chaque démarrage??
Si le 1er cas alors c'est pas grave si le second c'est bizarre.

hobywan · Answer

RE
non j'ai en message d'erreur quand j'exécute le^programme MBR.exe
je remet le Log.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6L200S0 rev.BANC1G10 -> Harddisk0\DR0 -> \Device\00000068 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
error: Read  Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.


Sinon jr n'ai aucune erreur au démarrage, mon PC à l'air de fonctionner normalement, mais d'après ce que tu as vu dans les logs précédents, il semble qu'il y ait un rootkit dans le MBR. Ou ai-je mal compris?

Utilisateur anonyme · Answer

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Ceci indique un MBR sain.Les différent prog utilisé on nettoyé  la zone d'amorce.

hobywan · Answer

Re
Pourtant quand je passe MBRCheck, j'ai une erreur sur les 2 DD Je joint le Log.

 http://pjjoint.malekal.com/files.php?id=20111124_l1013j13e7k7



Suite a ton avant dernier post, j'ai lancé Gmer, il est en train de tourner mais il a déja trouvé des traces de ROOTKIT. Je joint le Log des que c'est fini.

hobywan · Answer

re 
et voila le rapport de gmer
http://pjjoint.malekal.com/files.php?id=20111124_c7j5i13z109

Utilisateur anonyme · Answer

*	rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
----------------------------------------------------------------------
 C: \WINDOWS\system32\KDCOM.DLL

----------------------------------------------------------------------
*	Cliquez sur Parcourir... :
*	Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
*	Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
*	Fais un copier/coller du rapport sur le forum.

hobywan · Answer

Re 
Le fichier et clean 
je n'arrive pas a coller le rapport.

Utilisateur anonyme · Answer

Le rapport Gmer ne montre aucune infection.Gmer pense a tort avoir trouvé des rootkits.
Le fichier C:\WINDOWS\system32\HPBPRO.EXE fait partie de ton pc HP

hobywan · Answer

Bonsoir,
OK pour ça.
Donc, je ne doit plus avoir de souci par la suite.¨
En protection, j'ai Avira et de temps en temps je passe un coup de "Malwarebytes' Anti-Malware". A ton avis faut-il que je me protege mieux que ça?
Par contre, pour l'annegdote, mon PC n'est pas un HP mais assemblé par mes soins.
Merci encore pour ta patience et ton dévouement.

Utilisateur anonyme · Answer

Ton pc est maintenant propre. 
Voici quelques conseils. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus 

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=========================================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE9 : ici 
====================================================== 

Adobe Reader n'est pas à jour , c'est une faille de sécurité.
1. Désinstalles le en allant dans menu démarrer
2. Clic sur panneau de configuration
3. Rends-toi à ajout/suppression de programmes.
4. Télécharges et installes la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

Décoches :McAfee® Security Scan Plus gratuit (en option)


Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez 
============================================================
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               ==================================================== 
Tu peux garder MalwareBytes Anti-Malware pour faire des scans une fois /mois.
Pense a le mettre a jour avant chaque scan.


========================================================
Pour éliminer les programmes de désinfections. 

* Téléchargez : DelFix sur votre bureau.
* Lancez le, cliquez sur suppression.
* Patientez pendant le scan jusqu'à l'ouverture du rapport.
* Postez le contenu du rapport dans votre prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.

=========================================================
Désactive et réactive la Restauration du système sous windows xp. 
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les  
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :  
[1]   Dans la barre des tâches de Windows, clique sur Démarrer.  
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.  
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"  
[4 ]  Clique sur Appliquer.  
[5 ]  Ensuite décoche "Désactiver la restauration du systeme"  
[6 ]  clique sur appliquer puis ok  
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.  
[8]Pensé  a vider la corbeille. 
=======================================================
===========================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

Probleme avec system fix

57 réponses

Discussions similaires