Internet Explorer 8

daunes34 Messages postés 19 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,
Mon PC fixe (HP 8100 sous Windows XP/SP3 mis à jour systématiquement) a un problème depuis ce matin, avec Internet Explorer.
Je me suis rendu compte qu'une toolbar était présente dans les Modules complémentaires de Internet Explorer, et que, dans Program Files, il y avait un dossier « Ask.com ».
Pour supprimer cela, quelques forums expliquaient que, dans un tel cas, il fallait exécuter Adwcleaner, ce que j'ai fait, puis en cliquant sur « suppression » et provoquer un redémarrage du PC.
J'ai recommencé l'exécution de Adwcleaner, pour me rendre compte qu'il y avait encore un problème (voir le résultat ci-après), qui revient malgré plusieurs exécutions de Adwcleaner, et redémarrages du PC ...
Cette clé fait référence à "SaUpdate.exe" (AppName) et "C:\Program Files\Ask.com" (AppPath), alors que Ask.com a été supprimé.
Ensuite, lorsque je lance Internet Explorer (V8), après un redémarrage du PC, la page d'accueil de Orange (c'est mon FAI) apparait, et au bout de quelques secondes, un message d'erreur de Internet Explorer apparait « Internet Explorer a rencontré un problème et doit fermer, etc etc ».
Lorsque je relance Internet Explorer immédiatement après (sans redémarrage du PC), la page d'accueil de Orange apparait, et 3 ou 4 secondes après, Internet Explorer disparait de l'écran, sans message ...
Par contre, Outlook Express, que j'utilise, n'a aucun problème ....
Pourriez-vous m'aider à résoudre ce problème, ce dont je vous remercie par avance.
Vincent SIRVEN
Résultat de Adwcleaner :
# AdwCleaner v2.113 - Rapport créé le 02/03/2013 à 20:21:14
# Mis à jour le 23/02/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - HP27095772483
# Mode de démarrage : Normal
# Exécuté depuis : C:\Vsirven\Zip\Divers Windows\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[R16].txt - [1023 octets] - [02/03/2013 20:21:14]
########## EOF - C:\AdwCleaner[R16].txt - [1143 octets] ##########

30 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    Ton antivirus c'est Avira Antivir ?

    A+
    0
  2. daunes34 Messages postés 19 Statut Membre
     
    Bonjour,

    Non, non, mon antivirus est Norton Antivirus, j'ai essayé de lancer Internet Explorer après avoir neutralisé momentanément Norton, j'ai le même résultat ...

    Merci quand même pour la réponse
    0
  3. daunes34 Messages postés 19 Statut Membre
     
    Bonjour,
    Merci pour la suggestion, j'ai fait ce que tu m'as dit, voici le résultat :
    (que dois-je faire ensuite ?, merci pour l'aide ...)

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 13:03:03 le 05/03/2013, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Administrateur@HP27095772483 ( )

    ============== RECHERCHE ==============

    Clé trouvée: HKLM\Software\Unlocker\OpenCandy
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://g.uk.msn.com/HPCOM/9
    HKCU_Main|Search bar - hxxp://www.bing.com/sphome.aspx?mkt={SUB_RFC1766}
    HKCU_Main|Search Page - hxxp://www.bing.com
    HKCU_Main|Start Page - hxxp://www.orange.fr/
    HKLM_Main|Default_Page_URL - hxxp://g.uk.msn.com/HPCOM/9
    HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Start Page - hxxp://g.uk.msn.com/HPCOM/9
    HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
    HKCU_Toolbar\WebBrowser|{A13C2648-91D4-4BF3-BC6D-0079707C4389} (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)
    HKCU_Toolbar\WebBrowser|{71576546-354D-41C9-AAE8-31F2EC22BF0D} (C:\Program Files\WOT\WOT.dll)
    HKLM_Toolbar|{A13C2648-91D4-4bf3-BC6D-0079707C4389} (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)
    HKLM_Toolbar|{71576546-354D-41c9-AAE8-31F2EC22BF0D} (C:\Program Files\WOT\WOT.dll)
    HKCU_ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} - C:\Program Files\Ask.com\SaUpdate.exe (x)
    HKCU_ElevationPolicy\{D3DE705E-0BB6-47E6-AB61-6FF78BE040A0} - C:\Program Files\Internet Explorer\minftnet.exe (Synersoft)
    HKLM_ElevationPolicy\6f895a02-ba7a-4d72-b354-cf68086764a1 - C:\Program Files\Babylon-English\Babylon-EnglishToolbarHelper.exe (x)
    HKLM_ElevationPolicy\c03936e5-1f72-4712-97db-fc3882fcada4 - C:\Program Files\Babylon-English\Babylon-EnglishToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\symerr.exe (x)
    HKLM_ElevationPolicy\{5852F5ED-8BF4-11D4-A245-0080C6F74284} - C:\Program Files\Java\jre7\bin\javaws.exe (Oracle Corporation)
    HKLM_ElevationPolicy\{5D152383-7224-4c71-9F1D-8375146BE334} - C:\Program Files\Hewlett-Packard\File Sanitizer\CORESHREDDER.exe (Hewlett-Packard)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "File Sanitizer for HP ProtectTools" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
    BHO\{395610AE-C624-4f58-B89E-23733EA00F9A} - "HP ProtectTools Security Manager Extension" (C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpOtsPluginIe8.dll)
    BHO\{6D53EC84-6AAE-4787-AEEE-F4628F01010C} - "Norton Vulnerability Protection" (C:\Program Files\Norton AntiVirus\Engine\20.2.1.22\IPS\IPSBHO.DLL)
    BHO\{AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} - "Norton Identity Protection" (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 05/03/2013 13:03:15 (723 Octet(s))

    Fin à: 13:03:44, 05/03/2013

    ============== E.O.F ==============
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK lance le nettoyage avec AD-Remover et poste le rapport
    0
  6. daunes34 Messages postés 19 Statut Membre
     
    Merci pour l'aide, voici le rapport après "nettoyage" ...
    Je remarque que l'erreur de suppression de clé concerne, dans le registre, une clé qui fait référence à "SaUpdate.exe" (AppName) et "C:\Program Files\Ask.com" (AppPath), alors que Ask.com a été supprimé, est-ce que cela a une importance ?.

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:35:47 le 05/03/2013, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Administrateur@HP27095772483 ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Unlocker\OpenCandy
    Erreur suppression clé: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
    HKCU_Toolbar\WebBrowser|{A13C2648-91D4-4BF3-BC6D-0079707C4389} (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)
    HKCU_Toolbar\WebBrowser|{71576546-354D-41C9-AAE8-31F2EC22BF0D} (C:\Program Files\WOT\WOT.dll)
    HKLM_Toolbar|{A13C2648-91D4-4bf3-BC6D-0079707C4389} (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)
    HKLM_Toolbar|{71576546-354D-41c9-AAE8-31F2EC22BF0D} (C:\Program Files\WOT\WOT.dll)
    HKCU_ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} - C:\Program Files\Ask.com\SaUpdate.exe (x)
    HKCU_ElevationPolicy\{D3DE705E-0BB6-47E6-AB61-6FF78BE040A0} - C:\Program Files\Internet Explorer\minftnet.exe (Synersoft)
    HKLM_ElevationPolicy\6f895a02-ba7a-4d72-b354-cf68086764a1 - C:\Program Files\Babylon-English\Babylon-EnglishToolbarHelper.exe (x)
    HKLM_ElevationPolicy\c03936e5-1f72-4712-97db-fc3882fcada4 - C:\Program Files\Babylon-English\Babylon-EnglishToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\symerr.exe (x)
    HKLM_ElevationPolicy\{5852F5ED-8BF4-11D4-A245-0080C6F74284} - C:\Program Files\Java\jre7\bin\javaws.exe (Oracle Corporation)
    HKLM_ElevationPolicy\{5D152383-7224-4c71-9F1D-8375146BE334} - C:\Program Files\Hewlett-Packard\File Sanitizer\CORESHREDDER.exe (Hewlett-Packard)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "File Sanitizer for HP ProtectTools" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
    BHO\{395610AE-C624-4f58-B89E-23733EA00F9A} - "HP ProtectTools Security Manager Extension" (C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpOtsPluginIe8.dll)
    BHO\{6D53EC84-6AAE-4787-AEEE-F4628F01010C} - "Norton Vulnerability Protection" (C:\Program Files\Norton AntiVirus\Engine\20.2.1.22\IPS\IPSBHO.DLL)
    BHO\{AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} - "Norton Identity Protection" (C:\Program Files\Norton Identity Safe\Engine\2013.3.0.26\coIEPlg.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 05/03/2013 15:35:59 (671 Octet(s))

    Fin à: 15:36:37, 05/03/2013

    ============== E.O.F ==============
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Elle ne va plus nous embêter longtemps :)

    ▶ Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

    ▶ Télécharge OTM (OldTimer) sur ton Bureau :

    ▶ Double-clique sur OTM.exe afin de le lancer.

    ▶ Copie (Ctrl+C) le texte suivant ci-dessous :

    :reg
    [-HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]

    :commands
    [emptytemp]


    ▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

    *Le nom du rapport correspond au moment de sa création : date_heure.log

    A+
    0
  8. daunes34 Messages postés 19 Statut Membre
     
    Encore une fois marci ..., voici le rapport OTM :

    All processes killed
    ========== REGISTRY ==========
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 147396 bytes
    ->Temporary Internet Files folder emptied: 84425055 bytes
    ->Java cache emptied: 10958 bytes
    ->Flash cache emptied: 2664 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 186560 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 774424 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 1554 bytes

    Total Files Cleaned = 82,00 mb

    OTM by OldTimer - Version 3.1.21.0 log created on 03062013_004212
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Super, encore des soucis avec internet expl'horreur ?
    0
  10. daunes34 Messages postés 19 Statut Membre
     
    Merci encore, mais j'ai encore quelques surprises ....

    Lorsque je lance Internet Explorer (V8), après un redémarrage du PC, la page d'accueil de Orange (c'est mon FAI) apparait, et au bout de quelques secondes, un message d'erreur de Internet Explorer apparait « Internet Explorer a rencontré un problème et doit fermer, etc etc ».
    Lorsque je relance Internet Explorer immédiatement après (sans redémarrage du PC), la page d'accueil de Orange apparait, et 3 ou 4 secondes après, Internet Explorer disparait de l'écran, sans message ...

    Par contre, dans Outlook Express, si je clique sur un lien, (ex : " https://forums.commentcamarche.net/forum/affich-27280421-internet-explorer-8 ",
    ou " https://www.orange.fr/portail " ou "https://www.lequipe.fr/Football/Directs ", j'accède sans aucun problème à Internet ...
    En faisant "Ctrl / Alt / Suppr", je vois bien que "iexplore.exe" est bien chargé !!!, je ne comprends plus rien ....
    Que peut-il se passer ?
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tu sais quoi, on va réaliser un diagnostic complet du pc ça sera mieux :)

    ▶ Télécharge et installe ZHPDiag (de Nicolas Coolman)

    ▶ Lance ZHPDiag ( Si tu es sous Vista, 7 ou 8, clic droit et "Exécuter en tant qu'administrateur" sur son icône)

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ Pour me transmettre ton rapport utilise le site CJOINT et copie/colle le lien obtenu en échange

    A+
    0
  12. daunes34 Messages postés 19 Statut Membre
     
    C'est comme la chanson : "que serais-je sans toi" .....
    Voici le lien obtenu :
    http://cjoint.com/?CCgb1KGIRGc

    Merci encore pour l'aide, mais n'y passe quand même pas la nuit .....

    A demain
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Pas de soucis :)

    Poste le rapport de roguekiller stp, je vois que tu l'as déjà utilisé, ça pourra être utile pour voir ce qu'il a supprimé.
    0
  14. daunes34 Messages postés 19 Statut Membre
     
    Comme je n'avais pas vu de processus malicieux, je n'avais rien fait, je viens de recommencer, voici le rapport :

    RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Recherche -- Date : 06/03/2013 02:23:01
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[12] : NtAlertResumeThread @ 0x805D4BDC -> HOOKED (Unknown @ 0x88216528)
    SSDT[13] : NtAlertThread @ 0x805D4B8C -> HOOKED (Unknown @ 0x88216608)
    SSDT[17] : NtAllocateVirtualMemory @ 0x805A8AC2 -> HOOKED (Unknown @ 0x881FC390)
    SSDT[19] : NtAssignProcessToJobObject @ 0x805D66A0 -> HOOKED (Unknown @ 0x881FCF90)
    SSDT[31] : NtConnectPort @ 0x805A45D8 -> HOOKED (Unknown @ 0x87D52488)
    SSDT[43] : NtCreateMutant @ 0x80617718 -> HOOKED (Unknown @ 0x88201790)
    SSDT[52] : NtCreateSymbolicLinkObject @ 0x805C3A02 -> HOOKED (Unknown @ 0x881FCDB0)
    SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0x88219C60)
    SSDT[57] : NtDebugActiveProcess @ 0x80643BA8 -> HOOKED (Unknown @ 0x88201250)
    SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x8823AEF0)
    SSDT[83] : NtFreeVirtualMemory @ 0x805B2FBA -> HOOKED (Unknown @ 0x88216CA0)
    SSDT[89] : NtImpersonateAnonymousToken @ 0x805F9258 -> HOOKED (Unknown @ 0x88201880)
    SSDT[91] : NtImpersonateThread @ 0x805D7860 -> HOOKED (Unknown @ 0x88216448)
    SSDT[97] : NtLoadDriver @ 0x80584172 -> HOOKED (Unknown @ 0x88201410)
    SSDT[108] : unknown @ 0x805B2042 -> HOOKED (Unknown @ 0x88217B18)
    SSDT[114] : NtOpenEvent @ 0x8060F0D6 -> HOOKED (Unknown @ 0x882016B0)
    SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0x8820C6D8)
    SSDT[123] : NtOpenProcessToken @ 0x805EDF26 -> HOOKED (Unknown @ 0x88206C88)
    SSDT[125] : NtOpenSection @ 0x805AA3F4 -> HOOKED (Unknown @ 0x882014F0)
    SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0x8823AFC0)
    SSDT[137] : NtProtectVirtualMemory @ 0x805B8426 -> HOOKED (Unknown @ 0x881FCEA0)
    SSDT[206] : NtResumeThread @ 0x805D4A18 -> HOOKED (Unknown @ 0x882166E8)
    SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0x88216988)
    SSDT[228] : NtSetInformationProcess @ 0x805CDEA0 -> HOOKED (Unknown @ 0x88216A68)
    SSDT[240] : NtSetSystemInformation @ 0x8060FD8E -> HOOKED (Unknown @ 0x88201330)
    SSDT[253] : NtSuspendProcess @ 0x805D4AE0 -> HOOKED (Unknown @ 0x882015D0)
    SSDT[254] : NtSuspendThread @ 0x805D4952 -> HOOKED (Unknown @ 0x882167C8)
    SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0x88225200)
    SSDT[258] : unknown @ 0x805D24D2 -> HOOKED (Unknown @ 0x882168A8)
    SSDT[267] : NtUnmapViewOfSection @ 0x805B2E50 -> HOOKED (Unknown @ 0x88217A38)
    SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x88216D70)
    S_SSDT[307] : NtUserAttachThreadInput -> HOOKED (Unknown @ 0x881964E8)
    S_SSDT[383] : NtUserGetAsyncKeyState -> HOOKED (Unknown @ 0x8819D0E8)
    S_SSDT[414] : NtUserGetKeyboardState -> HOOKED (Unknown @ 0x881A4BD0)
    S_SSDT[416] : NtUserGetKeyState -> HOOKED (Unknown @ 0x881890E8)
    S_SSDT[428] : NtUserGetRawInputData -> HOOKED (Unknown @ 0x881B9418)
    S_SSDT[460] : NtUserMessageCall -> HOOKED (Unknown @ 0x881DFB98)
    S_SSDT[475] : NtUserPostMessage -> HOOKED (Unknown @ 0x880EC238)
    S_SSDT[476] : NtUserPostThreadMessage -> HOOKED (Unknown @ 0x881EA120)
    S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x88248EB0)
    S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x88133DC0)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    ÿþ1
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST3500418AS +++++
    --- User ---
    [MBR] fdd700a728d616326bbceead85c78d52
    [BSP] 0dd1e61a8ddb112a55cf432ef95c1f71 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_06032013_022301.txt >>
    RKreport[1]_S_06032013_022301.txt
    0
  15. daunes34 Messages postés 19 Statut Membre
     
    Oups ...., autant pour moi, en cherchant dans les différents rapports, je viens de retrouver le 1er de Roguekiller, j'ai dû faire "Suppression", je ne m'en souviens pas, mais il y avait un processus malicieux, excuse-moi pour cet oubli, voici ce rapport du 4 mars :

    RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Recherche -- Date : 04/03/2013 17:48:45
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [DLL] explorer.exe -- C:\WINDOWS\explorer.exe : C:\WINDOWS\RACHook9Ut.DLL [x] -> DECHARGÉE

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[12] : NtAlertResumeThread @ 0x805D4BDC -> HOOKED (Unknown @ 0x88264828)
    SSDT[13] : NtAlertThread @ 0x805D4B8C -> HOOKED (Unknown @ 0x88264908)
    SSDT[17] : NtAllocateVirtualMemory @ 0x805A8AC2 -> HOOKED (Unknown @ 0x8823AE08)
    SSDT[19] : NtAssignProcessToJobObject @ 0x805D66A0 -> HOOKED (Unknown @ 0x881E6A38)
    SSDT[31] : NtConnectPort @ 0x805A45D8 -> HOOKED (Unknown @ 0x888269B8)
    SSDT[43] : NtCreateMutant @ 0x80617718 -> HOOKED (Unknown @ 0x8823B710)
    SSDT[52] : NtCreateSymbolicLinkObject @ 0x805C3A02 -> HOOKED (Unknown @ 0x87AF59C8)
    SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0x87AF1B78)
    SSDT[57] : NtDebugActiveProcess @ 0x80643BA8 -> HOOKED (Unknown @ 0x882674B0)
    SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x8823AF80)
    SSDT[83] : NtFreeVirtualMemory @ 0x805B2FBA -> HOOKED (Unknown @ 0x87AF0BA0)
    SSDT[89] : NtImpersonateAnonymousToken @ 0x805F9258 -> HOOKED (Unknown @ 0x8823B800)
    SSDT[91] : NtImpersonateThread @ 0x805D7860 -> HOOKED (Unknown @ 0x88264748)
    SSDT[97] : NtLoadDriver @ 0x80584172 -> HOOKED (Unknown @ 0x8A697488)
    SSDT[108] : unknown @ 0x805B2042 -> HOOKED (Unknown @ 0x87AF0AC0)
    SSDT[114] : NtOpenEvent @ 0x8060F0D6 -> HOOKED (Unknown @ 0x88240F90)
    SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0x87B994F8)
    SSDT[123] : NtOpenProcessToken @ 0x805EDF26 -> HOOKED (Unknown @ 0x88826AC0)
    SSDT[125] : NtOpenSection @ 0x805AA3F4 -> HOOKED (Unknown @ 0x88240DD0)
    SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0x87B99408)
    SSDT[137] : NtProtectVirtualMemory @ 0x805B8426 -> HOOKED (Unknown @ 0x881E6948)
    SSDT[206] : NtResumeThread @ 0x805D4A18 -> HOOKED (Unknown @ 0x87B970C8)
    SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0x87AF42A0)
    SSDT[228] : NtSetInformationProcess @ 0x805CDEA0 -> HOOKED (Unknown @ 0x8823A1F0)
    SSDT[240] : NtSetSystemInformation @ 0x8060FD8E -> HOOKED (Unknown @ 0x88267590)
    SSDT[253] : NtSuspendProcess @ 0x805D4AE0 -> HOOKED (Unknown @ 0x88240EB0)
    SSDT[254] : NtSuspendThread @ 0x805D4952 -> HOOKED (Unknown @ 0x87B971A8)
    SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0x88408210)
    SSDT[258] : unknown @ 0x805D24D2 -> HOOKED (Unknown @ 0x8823A068)
    SSDT[267] : NtUnmapViewOfSection @ 0x805B2E50 -> HOOKED (Unknown @ 0x88204A30)
    SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x87B976E0)
    S_SSDT[307] : NtUserAttachThreadInput -> HOOKED (Unknown @ 0x88263C30)
    S_SSDT[383] : NtUserGetAsyncKeyState -> HOOKED (Unknown @ 0x87B9C6D8)
    S_SSDT[414] : NtUserGetKeyboardState -> HOOKED (Unknown @ 0x88276130)
    S_SSDT[416] : NtUserGetKeyState -> HOOKED (Unknown @ 0x88240C48)
    S_SSDT[428] : NtUserGetRawInputData -> HOOKED (Unknown @ 0x87ABDD98)
    S_SSDT[460] : NtUserMessageCall -> HOOKED (Unknown @ 0x87AD2DE0)
    S_SSDT[475] : NtUserPostMessage -> HOOKED (Unknown @ 0x882303F8)
    S_SSDT[476] : NtUserPostThreadMessage -> HOOKED (Unknown @ 0x87AD3C48)
    S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x87B97528)
    S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x87AEC198)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    ÿþ1
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST3500418AS +++++
    --- User ---
    [MBR] fdd700a728d616326bbceead85c78d52
    [BSP] 0dd1e61a8ddb112a55cf432ef95c1f71 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_04032013_174845.txt >>
    RKreport[1]_S_04032013_174845.txt
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    Clique sur Host RAZ dans RogueKiller et poste son rapport :)
    0
  17. daunes34 Messages postés 19 Statut Membre
     
    Bonjour,
    Quelle aubaine de pouvoir bénéficier de conseils de personnes avisées ...., merci encore ....
    J'ao donc relancé Roguekiller, j'ai cliqué directement sur Host RAZ, sans avoir auparavant cliqué sur Scan, voici le rapport :

    RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : HOSTS RAZ -- Date : 06/03/2013 10:40:29
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    ÿþ1
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ Nouveau fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[2]_H_06032013_104029.txt >>
    RKreport[1]_S_06032013_022301.txt ; RKreport[2]_H_06032013_104029.txt
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien désinstalle SpyBot si ce n'est pas encore fait :)
    0
  19. daunes34 Messages postés 19 Statut Membre
     
    Voilà, je viens de désinstaller SpyBot, puis j'ai fait un nettoyage Ccleaner et PC Optimiseur ....
    Spybot pourrait-il être la cause des soucis ? cela fait des années que je l'utilise sans qu'il ne m'ait posé de problèmes (enfin ..., me semble-t-il ...)
    0
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    PC Optimiseur poubelle aussi

    Spybot est dépassé depuis quelques années et ne protège plus :)
    Voir : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

    Pour les nettoyeurs/defragmenteurs : https://forum.malekal.com/viewtopic.php?t=26069&start=

    Si tu as malwarebytes tu peux faire un scan complet.

    Si pas voici mon mini tuto :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

    ~~

    Tu peux aussi tenter de réinstaller IE8, tu le trouveras ici : http://www.microsoft.com/fr-be/download/details.aspx?id=43

    A+
    0
  • 1
  • 2