Rapport MBAM : hijack

et en mode sans échec avec prise charge réseau il démarre ou pas ?? car sous live cd tous les outils ne fonctionne pas sous live cd tu as otl sur le bureau c'est lui qu'il faut utiliser pour faire l'analyse et coller cela dans la fenêtre Custom Scan avant de faire run scan



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
regedit.exe
userinit.exe
services.exe
winlogon.exe
wininit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
acpi.sys
AnyDVD.sys
acpiec.sys
aec.sys
afd.sys
amdk6.sys
amdk7.sys
AmdPPM.sys
arp1394.sys
ASACPI.sys
AsInsHelp32.sys
AsInsHelp64.sys
AsIO.sys
ASUSHWIO.SYS
asyncmac.sys
atapi.sys
atmarpc.sys
atmepvc.sys
atmlane.sys
atmuni.sys
audstub.sys
avgntdd.sys
avgntflt.sys
avgntmgr.sys
avipbb.sys
beep.sys
bridge.sys
bthport.sys
cbidf2k.sys
cdaudio.sys
cdfs.sys
cdrom.sys
cinemst2.sys
classpnp.sys
cpqdap01.sys
crusoe.sys
d347bus.sys
d347prt.sys
dfsc.sys
disk.sys
diskdump.sys
dmboot.sys
dmio.sys
dmload.sys
DMusic.sys
drmk.sys
drmkaud.sys
dxapi.sys
dxg.sys
dxgthk.sys
eamon.sys
fastfat.sys
fdc.sys
fips.sys
flpydisk.sys
fltMgr.sys
fsvga.sys
fs_rec.sys
ftdisk.sys
gm.dls
gmreadme.txt
hdaudbus.sys
hidclass.sys
hidparse.sys
hidusb.sys
http.sys
i8042prt.sys
imapi.sys
intelppm.sys
ip6fw.sys
ipfltdrv.sys
ipinip.sys
ipnat.sys
ipsec.sys
irenum.sys
isapnp.sys
kbdclass.sys
kbdhid.sys
kmixer.sys
ks.sys
ksecdd.sys
mcd.sys
mf.sys
mnmdd.sys
modem.sys
monfilt.sys
mouclass.sys
mouhid.sys
mountmgr.sys
mqac.sys
mrxdav.sys
mrxsmb.sys
msfs.sys
msgpc.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
mssmbios.sys
mup.sys
NBF.SYS
ndis.sys
ndistapi.sys
ndisuio.sys
ndiswan.sys
ndproxy.sys
netbios.sys
netbt.sys
nic1394.sys
nikedrv.sys
nmnt.sys
npfs.sys
ntfs.sys
null.sys
nv4_mini.sys
nwlnkflt.sys
nwlnkfwd.sys
nwlnkipx.sys
nwlnknb.sys
nwlnkspx.sys
nwrdr.sys
oprghdlr.sys
p3.sys
parport.sys
partmgr.sys
parvdm.sys
pci.sys
pciide.sys
pciidex.sys
pcmcia.sys
portcls.sys
processr.sys
psched.sys
ptilink.sys
rasacd.sys
rasl2tp.sys
raspppoe.sys
raspptp.sys
raspti.sys
rawwan.sys
rdbss.sys
rdpcdd.sys
rdpdr.sys
rdpwd.sys
redbook.sys
rio8drv.sys
riodrv.sys
rmcast.sys
rndismp.sys
rootmdm.sys
Rtenicxp.sys
SafeBoot.sys
scsiport.sys
sdbus.sys
secdrv.sys
serenum.sys
serial.sys
sffdisk.sys
sffp_mmc.sys
sffp_sd.sys
sfloppy.sys
smb.sys
smclib.sys
sonydcam.sys
splitter.sys
sr.sys
srv.sys
ssmdrv.sys
stream.sys
swenum.sys
swmidi.sys
sysaudio.sys
tape.sys
tcpip.sys
tcpip6.sys
tdi.sys
tdpipe.sys
tdtcp.sys
tdx.sys
termdd.sys
tosdvd.sys
tsbvcap.sys
tunmp.sys
udfs.sys
update.sys
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbccgp.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbohci.sys
usbport.sys
usbprint.sys
usbscan.sys
USBSTOR.SYS
VBoxDrv.sys
VBoxNetAdp.sys
VBoxNetFlt.sys
VBoxUSBMon.sys
vdmindvd.sys
vga.sys
viahduaa.sys
videoprt.sys
VMM.sys
VMNetSrv.sys
volsnap.sys
wanarp.sys
wdmaud.sys
wmiacpi.sys
wmilib.sys
ws2ifsl.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav

sur le rapport rien de méchant , ton pc ne redémarres toujours pas en mode normal ??

ok si ton pc est opérationnel en mode normal tu me fais le zhpdiag https://forums.commentcamarche.net/forum/affich-27236399-rapport-mbam-hijack#1

mais la vue qu'il te fais une vérification disque !! cela pourrait être ton disque dure qui commence à lacher !!!

Le PC a 6 mois ! ( Acer Aspire 5830 TG)

j'ai le portable de ma femme un acer qui 1 heure après l'avoir acheter nous a mis un écran noir et plus rien retour au magasin retour chez acer et ils ont changer le dd il avait laché !!

as tu des choses à sauver de dessus , car la solution serait de voire si une réinstallation usine ne réglerait pas ton problème!!

la il est comment ton pc il est démarrer en mode normal ou pas ??

il a démarré mais bloque depuis que j'ai rentré mon mot de passe de session Windows...toujours pas de bureau...15 minutes que ça tourne dans le vide...

20 minutes et toujours pas de bureau

bon as tu possibiliter de graver soit un cd ou sur une clé usb et de booter sur ton pc si oui tu fais pré scan en live !!

télécharge ici : http://www.security-helpzone.com/Tools/g3n/7pe_x___86_E.exe

selectionne si tu désires créer un CD live ou une Clé USB Live

===============================

Si cd :

double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir

insère un cd dans ton graveur puis clique sur "BURN ISO"

(normalement le fichier à graver est deja selectionné)

si USB :

insère une clé usb dans un support ( minimum 512 Mo )

Lance le fichier téléchargé , l'installation peut durer 1 à 2 mn

ensuite lance Sardu par le raccourci qui a été placé sur ton bureau , onglet fichier , clique sur Activer les Extra , puis charger toutes les Iso/IMA.
verifie à l'onglet "Windows" que la case "WIN7PE" est bien cochée.
en bas à droite de la fenetre tu dois avoir un poids avoisinant les 390 Mb.

Clique ensuite sur "search USB" et sélectionne ta clé juste en dessous , puis clique sur le dessin de clé USB , "make usb" apparaitra dans l"infobulle" de la souris.

reponds oui à la question "etes-vous sûr blablabla....."

tu verras les actions du programme pendant qu il travaille pour installer tout ca sur ta clé.

insère ta clé usb dans le pc malade.

===================================

il vous faudra un clavier filaire les sans fils ne fonctionnent pas sur le bios

ensuite change le démarrage de ton pc malade en mettant le cd en premier démarrage dans le bios

comment Faire ? : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

démarre le pc malade sur le cd ou la clé usb

Laisse faire jusqu'à l'affichage complet du bureau

normalement FirefoxPortable te permet de venir lire la suite

Ouvre le menu démarrer, choisi "tous les programmes", puis "Pre_Scan"

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok

à la question Do you wish to load remote user profile(s) for scanning ? => oui

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK

L'outil va automatiquement détecter le systeme d'exploitation installé et t'afficher une fenetre comme quoi il va demarrer , puis le scan va commencer

Il se peut que tu aies un message d'erreur sous XP du à un manque de RAM clique sur OK le scan continuera

A la fin, Pre_Scan s'arrêtera, poste le rapport situé dans <le disque sélectionné>\Pre_Scan\Pre_Scan_Live\Pre_scan_Live_la_date_et_l'heure.txt via https://www.cjoint.com/ ou http://pjjoint.malekal.com

Ne redémarre pas le pc normalement tout de suite il y aura peut-être une suppression manuelle à faire avant ,ou une demande de récupération de fichier

Ok, bien noté, j'attaque ça de suite.

Instructions suivies à la lettre mais dès le scan lancé le PC a redémarré normalement, mot de passe pour ouvrir la session, fenêtre de Bienvenue puis écran noir...et message "Windows a détecté un problème de disque dur...blablabla..."
Je ne pense pas avoir fait de boulette.
J'essaie à nouveau.

Idem, lancement de pre_scan, après le choix du profil utilisateur, écran noir, puis démarrage Windows. Cette fois, comme il ne s'est pas arrêté normalement la dernière fois, il me propose les options de démarrage, je sélectionne"sans échec" et comme ça fonctionne je passe un coup de ZHPDiag. On verra bien...

C'est parti !

as tu essayer de faire se qui est au dessus ??

Non, je n'avais pas encore vu le message, désolé.

tu as réussi à faire zhpdiag en sans echec vue le rapport passes adwcleaner en mode suppression

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

si problème avec la sécurité de internet explorer regarde se lien : https://toolslib.net

Lance le, clique sur [Suppression] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

J'avais fait un scan le 25/02:
# AdwCleaner v2.112 - Rapport créé le 25/02/2013 à 11:52:29
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guigui's - GUIGUIS-PC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : E:\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\NCH_EN
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\Guigui's\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Guigui's\AppData\Local\Software
Dossier Supprimé : C:\Users\Guigui's\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Guigui's\AppData\LocalLow\NCH_EN
Dossier Supprimé : C:\Users\Guigui's\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Guigui's\AppData\Roaming\WebPlayerBdd
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\NCH_EN
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2801948
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{125B7A09-B405-46FB-95FB-96CF6B72992D}
Clé Supprimée : HKLM\Software\NCH_EN
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{125B7A09-B405-46FB-95FB-96CF6B72992D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A365DFA9-7CAF-4822-926C-E3E8CBA15C3B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F69AFFFC-9FFD-433D-8457-24FB1D675F04}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NCH_EN Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{37483B40-C254-4A72-BDA4-22EE90182C1E}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\Guigui's\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4686 octets] - [25/02/2013 11:50:27]
AdwCleaner[S1].txt - [4671 octets] - [25/02/2013 11:52:29]

########## EOF - C:\AdwCleaner[S1].txt - [4731 octets] ##########

Et voici le scan que je viens d'effectuer:
# AdwCleaner v2.112 - Rapport créé le 01/03/2013 à 13:27:46
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Guigui's - GUIGUIS-PC
# Mode de démarrage : Mode sans échec
# Exécuté depuis : C:\Users\Guigui's\Desktop\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\Guigui's\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4686 octets] - [25/02/2013 11:50:27]
AdwCleaner[S1].txt - [4796 octets] - [25/02/2013 11:52:29]
AdwCleaner[S2].txt - [902 octets] - [01/03/2013 13:27:46]

########## EOF - C:\AdwCleaner[S2].txt - [961 octets] ##########

ok comment il va le pc ??

tu passeras delfix pour nettoyer les outils !! je te mets la procédure et il serait bien de faire un nettoayge avec ccleaner !!

télécharge delfix ( merci xplode)

compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.

lances delfix

et coche Suppression des outils de désinfection

et coche Purger la restauration système

et puis Réinitialiser les paramètres système

ne pas oublier de cliquer sur "executer"

une fois fais tu cliques droit sur un espace vide de ton bureau

et puis nouveau document texte

tu l'ouvre et tu fais clique droit dedans et copier

normalement tu devrait avoir le rapport de delfix tu me le postes

par le biais d'un hébergeur !!

http://pjjoint.malekal.com/

https://pjjoint.malekal.com/files.php?id=20130306_g1414g10b7h7

Le rapport dit qu'il a tout supprimer mais il reste les raccourcis sur le bureau. Je les supprime ?

Je passe un coup de CCleaner

alors la c'est pas possible débranche ta box du courrant et reconnecte la 2 ou 3 minutes après cela la reparamêtera et lui permettera de faire la mises à jour de son firmware !!

car la perso si tous les pc s'y mette les un derière les autres cela est plus possible tes pc était en réseau ??

Non, ils ne sont pas en réseau. Je débranche la box...

J'ai débranché la box puis relancé, ça semble fonctionner, 11 connections sortantes seulement...
La clef usb a bcp circulé entre les PC sains et malades mais il n'y avait rien dessus au départ, ensuite seulement les logiciels pour réparer les PC (Malware,...).

Ok, c'était bien un problème de màj pour la box. Merci ! Le PC fonctionne à nouveau parfaitement.

bon ok c'est bon pour celui ci et les autre il dise quoi !!!

la boutique ne te réinstallera pas windows !! ils vont te retourner vers le support acer , tu fera une demande de prise en charge sous garantie , si cela rentre dans la garantie , ils te le prendront chez toi et pareil pour le retour 3 semaine après !! et si c'est pas pris par la garantie il te faudra payer !!!

bon tu as voulu réinstaller usine ton acer avec F10 ou alt+f10 au démarrage du pc !! mais as tu des cd ou dvd que tu aurais graver au premier démarrage ??

si oui tu boot dessus et tu réinstalles !!

N'importe quel CD ?

as tu graver les cd au premier démarrage du pc !! si oui tu en as plusieurs ?? je pense que tu as du les numérotés ??

ton pc la il fonctionne "démarre " ou pas ??

Le PC ne démarre pas (cf + haut).
Non, malheureusement, je n'ai pas gravé de CD/DVD au 1er démarrage.
Microsoft n'assure vraiment pas, une réinstallation devrait être bcp plus simple à réaliser.
N'est-il pas possible de télécharger Win7 sur leur site et de valider avec le code indiqué sur l'étiquette au dos du PC ?

tu pourrais oui trouver un dvd de seven qui corresponde à ta version et réinstaller , mais tu n'auras plus les logiciels additionnel que tu as sur ton pc !! et je sais même pas si la clé de licence qui est sur le pc sera accepter pour l'enregistrement car sur les pc de marque se sont des licence de groupe !! et si tu réinstalles sans les cd de restauration ou sans passer par la sauvegarde interne possible qu'il te faille contacter microsoft par téléphone pour valider la licence !!!

pour lancer la réinstallation usine tu as fais comment ??

Alt+F10. La première fois j'ai tenté le coup avec l'option sauvegarde des fichiers, mais ça n'a pas fonctionné.
Du coup j'ai redémarré et validé l'autre option, "réinstallation usine", mais ça ne fonctionne pas (cf + haut). Il a quand réussi à effacer tous les documents !

la tu veux dire que tu as fait alt + F10 au démarrage du pc , fait l'option réinstallation usine et il ne va pas jusqu'au bout !! il as tous spprimer sans réinstaller??