PC avec spywares Résolu

Question

Bonjour,

J'ai le cas d'un PC dont le fonctionnement est perturbé (fenêtres de pub, blocages, navigateur qui ne s'ouvre pas, etc.)

Voici les rapports de ZHPDiag et Malwarebytes

Merci pour votre aide

https://www.cjoint.com/c/CFvo7PDMFo7


Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.21.03

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Rebecca :: JAPAN [administrateur]

21.06.2013 14:29:56
mbam-log-2013-06-21 (14-29-56).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 241233
Temps écoulé: 6 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Internet Security (Trojan.Agent.DPT) -> Données: C:\Users\Rebecca\AppData\Roaming	defender.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Users\Rebecca\AppData\Roaming	defender.exe (Trojan.Agent.DPT) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Roaming\697A.tmp (Trojan.Agent.DPT) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\01371791491760.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\01371791491819.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\11371791491819.exe (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\6304.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\67B6.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\6D71.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\msimg32.dll (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\$RECYCLE.BIN\S-1-5-21-3280845891-3083273887-2824725682-1000\$42059d83bda58591cc97d3ef23fd9c10
 (Trojan.0Access) -> Suppression au redémarrage.

(fin)

juju666 · Answer

Salut,

Heu dis moi, tu as combien de PC ?

Faudrait pas nous prendre pour des idiots, te faire payer pour remettre des PC en ordre alors que c'est nous qui les dépannons ...

Balboa99 · Answer

Salut,

Ce n'est pas mon PC mais comme j'ai réussi à en nettoyer quelques uns (grâce à votre aide je le souligne) des amis me refilent leur PC pour le nettoyer

juju666 · Answer

Mouais ... contre paiement ... et nous on t'aide bénévolement ... 
Ta bonne foi est improuvable :)

juju666 · Answer

&#9654 Télécharge ici :  RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

Balboa99 · Answer

Voici le rapport RogueKiller V8.6.1 [Jun 19 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Rebecca [Droits d'admin] Mode : Recherche -- Date : 06/21/2013 16:04:33 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3280845891-3083273887-2824725682-1000\$42059d83bda58591cc97d3ef23fd9c10\n. [x]) -> TROUVÉ ¤¤¤ Tâches planifiées : 1 ¤¤¤ [V2][SUSP PATH] OpenCandyHelperD426ECE6E6874E4A9B738CCCF972ECA7 : C:\Windows\system32\rundll32.exe - "C:\Users\Rebecca\AppData\Roaming\OpenCandy\F6C2D35A0C1C4EFAB79A45657C0D9757\OCBrowserHelper_1.0.5.112.dll",_OCRestartDll@16 [7][7][x] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts|ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9SA00 ATA Device +++++ --- User --- [MBR] fcc039d55f8c17bf788caeabcc66de0a [BSP] 14f9c92de1f57b47d628a6ae544641d1 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 118937 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246657024 | Size: 118037 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_06212013_160433.txt >>

juju666 · Answer

Désinstaller Spybot

====================

Click Suppression sur RogueKiller et poste le rapport

====================

Click Hosts RAZ sur RogueKiller et poste également son rapport

====================

&#9654 Télécharge ici: AdwCleaner (de Xplode)

&#9654 Lance-le

&#9654 Clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

====================

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur CJOINT et donne les liens obtenus en échange

Balboa99 · Answer

Voilà les premiers rapports Avec OTL ça marche pas, le prgm est bloqué sur C:\Windows\system32\lsm.exe RogueKiller V8.6.1 [Jun 19 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Rebecca [Droits d'admin] Mode : Suppression -- Date : 06/21/2013 16:16:54 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3280845891-3083273887-2824725682-1000\$42059d83bda58591cc97d3ef23fd9c10\n. [x]) -> REMPLACÉ (C:\Windows\system32\shell32.dll) ¤¤¤ Tâches planifiées : 1 ¤¤¤ [V2][SUSP PATH] OpenCandyHelperD426ECE6E6874E4A9B738CCCF972ECA7 : C:\Windows\system32\rundll32.exe - "C:\Users\Rebecca\AppData\Roaming\OpenCandy\F6C2D35A0C1C4EFAB79A45657C0D9757\OCBrowserHelper_1.0.5.112.dll",_OCRestartDll@16 [7][7][x] -> SUPPRIMÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts|ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9SA00 ATA Device +++++ --- User --- [MBR] fcc039d55f8c17bf788caeabcc66de0a [BSP] 14f9c92de1f57b47d628a6ae544641d1 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 118937 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246657024 | Size: 118037 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_06212013_161654.txt >> RKreport[0]_S_06212013_160433.txt --------------------------------------------------------------------------- RogueKiller V8.6.1 [Jun 19 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Rebecca [Droits d'admin] Mode : Recherche -- Date : 06/21/2013 16:23:28 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 localhost ::1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100888290cs.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9SA00 ATA Device +++++ --- User --- [MBR] fcc039d55f8c17bf788caeabcc66de0a [BSP] 14f9c92de1f57b47d628a6ae544641d1 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 118937 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246657024 | Size: 118037 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_06212013_162328.txt >> RKreport[0]_D_06212013_161654.txt;RKreport[0]_S_06212013_160433.txt ----------------------------------------------------------------------------- # AdwCleaner v2.303 - Rapport créé le 21/06/2013 à 17:53:07 # Mis à jour le 08/06/2013 par Xplode # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits) # Nom d'utilisateur : Rebecca - JAPAN # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Rebecca\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\41T5CWSO\adwcleaner.exe # Option [Suppression] ***** [Services] ***** ***** [Fichiers / Dossiers] ***** Dossier Supprimé : C:\Program Files\Amazon Browser Bar Dossier Supprimé : C:\Program Files\continuetosave Dossier Supprimé : C:\ProgramData\AVG Secure Search Dossier Supprimé : C:\ProgramData\ccoantoinuuuEttosavve Dossier Supprimé : C:\ProgramData\InstallMate Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ccoantoinuuuEttosavve Dossier Supprimé : C:\ProgramData\Tarma Installer Dossier Supprimé : C:\Users\Rebecca\AppData\Local\AVG Secure Search Dossier Supprimé : C:\Users\Rebecca\AppData\Local\DownTango Dossier Supprimé : C:\Users\Rebecca\AppData\Local\Smartbar Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\AVG Security Toolbar Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\ccoantoinuuuEttosavve Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\Conduit Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\searchresultstb Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\SimplyTech Dossier Supprimé : C:\Users\Rebecca\AppData\Roaming\Babylon Dossier Supprimé : C:\Users\Rebecca\AppData\Roaming\dvdvideosoftiehelpers Dossier Supprimé : C:\Users\Rebecca\AppData\Roaming\OpenCandy Dossier Supprimé : C:\Users\Rebecca\AppData\Roaming\SendSpace Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\ccoantoinuuuEttosavve Fichier Supprimé : C:\END Fichier Supprimé : C:\Windows\system32\roboot.exe ***** [Registre] ***** Clé Supprimée : HKCU\Software\1ClickDownload Clé Supprimée : HKCU\Software\Alexa Internet Clé Supprimée : HKCU\Software\APN PIP Clé Supprimée : HKCU\Software\AppDataLow\SProtector Clé Supprimée : HKCU\Software\BabylonToolbar Clé Supprimée : HKCU\Software\DataMngr Clé Supprimée : HKCU\Software\DataMngr_Toolbar Clé Supprimée : HKCU\Software\f0dc8fb53fbe42 Clé Supprimée : HKCU\Software\InstallCore Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C1C6816E-CBB3-A748-85F9-A8B47B68985B} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{FB697452-8CA4-46B4-98B1-165C922A2EF3} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com Clé Supprimée : HKCU\Software\ProtectedSearch Clé Supprimée : HKCU\Software\SmartBar Clé Supprimée : HKCU\Software\YahooPartnerToolbar Clé Supprimée : HKLM\Software\Babylon Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1F02FB61-2BE5-4C16-8199-AEAA16EB0342} Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BC9FD17D-30F6-4464-9E53-596A90AFF023} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} Clé Supprimée : HKLM\Software\Classes\Installer\Features\9EE58E3C298524145B73CBBED3CAC4D3 Clé Supprimée : HKLM\Software\Classes\Installer\Products\9EE58E3C298524145B73CBBED3CAC4D3 Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785} Clé Supprimée : HKLM\SOFTWARE\Classes\oneclick Clé Supprimée : HKLM\SOFTWARE\Classes\oneclickmg Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DA9FC525-41ED-4C00-B046-946DA7CDD305} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} Clé Supprimée : HKLM\Software\DataMngr Clé Supprimée : HKLM\SOFTWARE\f0dc8fb53fbe42 Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jbpkiefagocgkmemidfngdkamloieekf Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pfmopbbadnfoelckkcmjjeaaegjpjjbk Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{cfd485f0-96bd-47cd-bb6d-cd7dda95f102} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0 Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966 Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467 Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EE58E3C298524145B73CBBED3CAC4D3 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C1C6816E-CBB3-A748-85F9-A8B47B68985B} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} Clé Supprimée : HKLM\Software\PIP Clé Supprimée : HKLM\Software\SP Global Clé Supprimée : HKLM\Software\SProtector Clé Supprimée : HKLM\Software\Tarma Installer Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}] ***** [Navigateurs] ***** -\ Internet Explorer v9.0.8112.16490 Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - Default] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - Default] = hxxp://feed.snap.do/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=CH&userid=d401428d-6a49-4230-8e5f-83b3f9762e96&searchtype=ds&q={searchTerms}&installDate=29/03/2013 --> hxxp://www.google.com -\ Google Chrome v27.0.1453.116 Fichier : C:\Users\Rebecca\AppData\Local\Google\Chrome\User Data\Default\Preferences Supprimée [l.2819] : urls_to_restore_on_startup = [ "hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&use[...] ************************* AdwCleaner[R1].txt - [24989 octets] - [14/12/2012 10:07:29] AdwCleaner[S1].txt - [24013 octets] - [14/12/2012 10:07:42] AdwCleaner[S2].txt - [9821 octets] - [21/06/2013 17:53:07] ########## EOF - C:\AdwCleaner[S2].txt - [9881 octets] ##########

juju666 · Answer

J'avais dis Hosts RAZ sur RogueKiller pas une nouvelle recherche

Balboa99 · Answer

Oui effectivement mais après avoir lancé la suppression, la commande "Hosts RAZ" était grisée et donc non accessible

juju666 · Answer

Réinitialise le fichier hosts avec ça : http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/10-rsthosts

Jonathan_117 · Answer

Ou alors tu fais une restauration ou un formatage c'est plus rapide que de chercher pendant des heures moi c'est ce que je fais maintenant

Balboa99 · Answer

Ok j'ai réinitialisé le fichier host

juju666 · Answer

Bien, redémarre, et retente la manip avec OTL.

Si ça ne fonctionne toujours pas fait-le en mode sans échec.

Balboa99 · Answer

Bonjour

Hier soir j'ai lancé OTL en mode sans échec selon la procédure

Depuis je n'arrive plus à relancer le PC en mode normal ni en mode sans échec et ni en ligne de commande

Il démarre normalement puis se bloque sur l'écran noir mais la flèche de la souris fonctionne

As tu une solution ?

Merci

juju666 · Answer

Salut,
Bah chépa ce que tu as fait hein mais ça n'est jamais arrivé. Surtout qu'en principe c'était une ANALYSE, pas une correction, donc en principe on n'a fait que lister des trucs.

 Si tu fais CTRL+ALT+DEL ça t'ouvre le gestionnaire des tâches?

Balboa99 · Answer

Oui j'ai cliqué sur Analyse

La commande CTRL+ALT+DELETE ne fonctionne pas

Faut-il tenter une réparation avec un CD de Vista ?

juju666 · Answer

Tente d'abord la réparation du démarrage ;)

Tapote F8 au démarrage du pc.

Balboa99 · Answer

Avec F8, j'ai juste:
Mode sans échec
Mode sans échec avec réseau
Ligne de commande
Démarrage normal

juju666 · Answer

Voir : https://support.microsoft.com/fr-fr/help/961793

Balboa99 · Answer

Je crois que c'est  Windows Vista Home Premium 32 bits SP2 qui est installé sur ce PC

J'ai un CD de Windows Vista Home Premium 32 bits 

Je peux y aller avec ça ?

juju666 · Answer

De mémoire tous les CD sont les mêmes c'est juste la clé qui précise au CD quelle version installer :)

Balboa99 · Answer

Ok, c'est bon j'ai pu faire une restauration, le PC refonctionne

Je tente l'analyse avec OTL ?

juju666 · Answer

oui

Balboa99 · Answer

Voici les rapports

https://www.cjoint.com/?CFwsdqmCWO0

https://www.cjoint.com/?CFwsepe9Ve5

Balboa99 · Answer

Incroyable !

C'est de nouveau la même chose que hier soir

Apparemment il ne supporte pas OTL

Bon, je vais refaire une restauration

juju666 · Answer

Désinstalle Java (pas à jour) , ccoantoinuuuEttosavve et Internet Explorer Toolbar 4.6 by SweetPacks    (des m€rdes)

=============================

Relance OTL, sous personnalisation colle ceci : (bien prendre :OTL au début)

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} 
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=29/03/2013
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate} 
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}   
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local      
[2012.11.15 21:29:08 | 000,213,316 | ---- | M] () (No name found) -- C:\Users\Rebecca\AppData\Roaming\mozilla\firefox\profiles\0\extensions	orntv@torntv.com.xpi      
O2 - BHO: (ccoantoinuuuEttosavve) - {31208AD4-B11B-138E-A2AC-4CB2025EFAFB} - C:\ProgramData\ccoantoinuuuEttosavve\518132df16547.dll () 
[2013.06.22 17:30:28 | 000,000,000 | ---D | M] -- C:\Users\Rebecca\AppData\Roaming\OpenCandy
[2013.06.22 17:30:40 | 000,000,000 | ---D | M] -- C:\ProgramData\ccoantoinuuuEttosavve      
[2011.04.18 10:19:46 | 000,000,000 | ---D | M] -- C:\ProgramData\fGa24500dDdIe24500      
[2013.06.22 17:30:13 | 000,000,000 | ---D | M] -- C:\ProgramData\InstallMate 
[2013.06.22 17:30:16 | 000,000,000 | ---D | M] -- C:\ProgramData\Tarma Installer
[2013.03.25 20:29:00 | 000,003,712 | ---- | M] () -- C:\Windows\system32\Tasks\OpenCandyHelperD426ECE6E6874E4A9B738CCCF972ECA7
[2012.11.29 15:39:47 | 000,000,000 | ---D | M] -- C:\Windows\system32\Tasks\ProtectedSearch      
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:2683706C      

:Reg
[-HKEY_CURRENT_USER\Software\1ClickDownload]  
[-HKEY_CURRENT_USER\Software\Alexa Internet]  
[-HKEY_CURRENT_USER\Software\APN PIP] 
[-HKEY_CURRENT_USER\Software\BabylonToolbar] 
[-HKEY_CURRENT_USER\Software\DataMngr] 
[-HKEY_CURRENT_USER\Software\DataMngr_Toolbar]
[-HKEY_CURRENT_USER\Software\InstallCore] 
[-HKEY_CURRENT_USER\Software\ProtectedSearch]
[-HKEY_CURRENT_USER\Software\Smartbar]
[-HKEY_LOCAL_MACHINE\Software\Babylon]  
[-HKEY_LOCAL_MACHINE\Software\DataMngr]  
[-HKEY_LOCAL_MACHINE\Software\PIP] 
[-HKEY_LOCAL_MACHINE\Software\SP Global] 
[-HKEY_LOCAL_MACHINE\Software\SProtector]
[-HKEY_LOCAL_MACHINE\Software\Tarma Installer] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C1C6816E-CBB3-A748-85F9-A8B47B68985B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}]

:Commands
reg query "HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D" /S >> %HOMEDRIVE%\query.txt /C
reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
[EMPTYTEMP] 
 
Click CORRECTION, le pc redémare, poste le rapport qui s'ouvrira de lui même.
Poste aussi C:\query.txt

Balboa99 · Answer

Voici le rapport Mais je n'ai pas trouvé c:\query.txt All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found. HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar| /E : value set successfully! HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page| /E : value set successfully! HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search\Default_Search_URL| /E : value set successfully! HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant| /E : value set successfully! HKEY_USERS\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found. HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride| /E : value set successfully! C:\Users\Rebecca\AppData\Roaming\mozilla\firefox\profiles\0\extensions orntv@torntv.com.xpi moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31208AD4-B11B-138E-A2AC-4CB2025EFAFB}\ not found. C:\ProgramData\ccoantoinuuuEttosavve\518132df16547.dll moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\F6C2D35A0C1C4EFAB79A45657C0D9757 folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\DD336F8CAAFC46B79BD8B7B1C1B2B8CC folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\AC89A13152974A6DBF6B7C96DB50DABA folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\57203BF06820477EA6F7D1AA1F37C221 folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\53236365C3394891B4AB82DA64D9A5CF folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy\4E594E7C8162418DA902820812893FAF folder moved successfully. C:\Users\Rebecca\AppData\Roaming\OpenCandy folder moved successfully. C:\ProgramData\ccoantoinuuuEttosavve folder moved successfully. Folder C:\ProgramData\fGa24500dDdIe24500\ not found. C:\ProgramData\InstallMate\{E39A9457-FE65-4FEE-AD05-B6473879B6A1} folder moved successfully. C:\ProgramData\InstallMate folder moved successfully. C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} folder moved successfully. C:\ProgramData\Tarma Installer folder moved successfully. C:\Windows\System32\Tasks\OpenCandyHelperD426ECE6E6874E4A9B738CCCF972ECA7 moved successfully. C:\Windows\System32\Tasks\ProtectedSearch folder moved successfully. ADS C:\ProgramData\TEMP:2683706C deleted successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\1ClickDownload\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Alexa Internet\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\APN PIP\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\BabylonToolbar\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\DataMngr\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\DataMngr_Toolbar\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\InstallCore\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\ProtectedSearch\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Smartbar\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Babylon\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\DataMngr\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\PIP\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\SP Global\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\SProtector\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Tarma Installer\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C1C6816E-CBB3-A748-85F9-A8B47B68985B}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1C6816E-CBB3-A748-85F9-A8B47B68985B}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}\ not found. ========== COMMANDS ========== Error: Unable to interpret > %HOMEDRIVE%\query.txt /C> in the current context! Error: Unable to interpret < reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C> in the current context! Error: Unable to interpret < reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C> in the current context! [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: Rebecca ->Temp folder emptied: 175266450 bytes ->Temporary Internet Files folder emptied: 517960675 bytes ->Java cache emptied: 1035801 bytes ->Google Chrome cache emptied: 261675697 bytes ->Flash cache emptied: 6630 bytes User: Utilisateur ->Temp folder emptied: 1722847 bytes ->Temporary Internet Files folder emptied: 901144 bytes ->Flash cache emptied: 783 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 103461545 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 1162984260 bytes Total Files Cleaned = 2'122.00 mb OTL by OldTimer - Version 3.2.69.0 log created on 06222013_184546 Files\Folders moved on Reboot... C:\Users\Rebecca\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\F6E2FWMU\affich-28073639-pc-avec-spywares[3].htm moved successfully. C:\Users\Rebecca\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully. C:\Users\Rebecca\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully. C:\Users\Rebecca\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot...

juju666 · Answer

Oups ^^

Refais avec ça :

:Files
reg query "HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D" /S >> %HOMEDRIVE%\query.txt /C
reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C  

ça ira mieux :)

Balboa99 · Answer

Ok c'est fait Le rapport ========== FILES ========== [color=#A23BEC]< reg query "HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D" /S >> %HOMEDRIVE%\query.txt /C >[/color] HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D FRun REG_SZ 0 O'ld REG_SZ Houdsodu!Rdbtshux Q'ui REG_SZ B;]Trdsr]Sdcdbb']@qqE'u']Sn'lhof]uedgdoeds/dyd C:\Users\Rebecca\Desktop\cmd.bat deleted successfully. C:\Users\Rebecca\Desktop\cmd.txt deleted successfully. [color=#A23BEC]< reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C >[/color] HKEY_CURRENT_USER\Software\f0dc8fb53fbe42\history HKEY_CURRENT_USER\Software\f0dc8fb53fbe42\history\{16cdff19-861d-48e3-a751-d99a27784753}2.3.796.11 version REG_SZ 2.3.796.11 guid REG_SZ {16cdff19-861d-48e3-a751-d99a27784753} folderName REG_SZ Browser Manager dllName REG_SZ browsemngr.dll exeName REG_SZ browsemngr.exe serviceName REG_SZ Browser Manager HKEY_CURRENT_USER\Software\f0dc8fb53fbe42\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1125.80 version REG_SZ 2.6.1125.80 guid REG_SZ {c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8} folderName REG_SZ BrowserProtect dllName REG_SZ BrowserProtect.dll exeName REG_SZ BrowserProtect.exe serviceName REG_SZ BrowserProtect C:\Users\Rebecca\Desktop\cmd.bat deleted successfully. C:\Users\Rebecca\Desktop\cmd.txt deleted successfully. [color=#A23BEC]< reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C >[/color] C:\Users\Rebecca\Desktop\cmd.bat deleted successfully. C:\Users\Rebecca\Desktop\cmd.txt deleted successfully. OTL by OldTimer - Version 3.2.69.0 log created on 06222013_192809

juju666 · Answer

:)

Refais OTL avec ça maintenant :

:Reg
[-HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D]
[-HKEY_CURRENT_USER\Software\f0dc8fb53fbe42]
[-HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42] 

~~

Encore des soucis ?

Balboa99 · Answer

Le PC fonctionne bien

Que roposes-tu comme anti-virus gratuit, Avast ou Avira ?


Le rapport

========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\f0dc8fb53fbe42\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42\ deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06222013_193923

juju666 · Answer

Avast! sans hésitation.

 Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Balboa99 · Answer

Tu m'as dit de cocher toutes les cases, ce que j'ai fat

Après coup j'ai vu que le prgm a purgé les points de restauration

J'espère que le PC va redémarrer :(


# DelFix v10.3 - Rapport créé le 22/06/2013 à 19:43:48
# Mis à jour le 08/06/2013 par Xplode
# Nom d'utilisateur : Rebecca - JAPAN
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\_OTL
Supprimé : C:\ZHP
Supprimé : C:\Users\Rebecca\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\rkill.log
Supprimé : C:\RstHosts.txt
Supprimé : C:\Users\Rebecca\Desktop\AdwCleaner[S2].txt
Supprimé : C:\Users\Rebecca\Desktop\Extras.Txt
Supprimé : C:\Users\Rebecca\Desktop\OTL.Txt
Supprimé : C:\Users\Rebecca\Desktop\OTL.exe
Supprimé : C:\Users\Rebecca\Desktop\RKreport[0]_D_06212013_161654.txt
Supprimé : C:\Users\Rebecca\Desktop\RKreport[0]_H_06212013_162404.txt
Supprimé : C:\Users\Rebecca\Desktop\RKreport[0]_S_06212013_160433.txt
Supprimé : C:\Users\Rebecca\Desktop\RKreport[0]_S_06212013_162328.txt
Supprimé : C:\Users\Rebecca\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Rebecca\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #1116 [Windows Update | 06/13/2013 01:00:28]
Supprimé : RP #1117 [Installation du package de pilote logiciel : Hewlett-Packard Imprimantes | 06/14/2013 16:48:28]
Supprimé : RP #1119 [Point de restauration de l'installation HP | 06/14/2013 16:53:05]
Supprimé : RP #1121 [Point de restauration de l'installation HP | 06/14/2013 18:22:13]
Supprimé : RP #1122 [Windows Update | 06/15/2013 01:00:17]
Supprimé : RP #1123 [Windows Update | 06/16/2013 01:00:19]
Supprimé : RP #1124 [Removed Bing Bar | 06/17/2013 13:13:40]
Supprimé : RP #1125 [Removed Microsoft Silverlight | 06/17/2013 13:15:56]
Supprimé : RP #1126 [Point de contrôle planifié | 06/18/2013 14:17:09]
Supprimé : RP #1127 [Point de contrôle planifié | 06/20/2013 05:44:26]
Supprimé : RP #1128 [Point de contrôle planifié | 06/21/2013 05:46:53]
Supprimé : RP #1129 [Windows Update | 06/21/2013 12:48:29]
Supprimé : RP #1130 [Windows Update | 06/22/2013 14:40:32]
Supprimé : RP #1131 [Windows Update | 06/22/2013 16:33:24]
Supprimé : RP #1132 [Removed Java(TM) 6 Update 21 | 06/22/2013 16:40:49]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

juju666 · Answer

Bien oui, pourquoi ne redémarrerait-il pas ?

Balboa99 · Answer

Bonjour juju666

Encore 2 petits problèmes

1)  depuis hier je ne peux plus me connecter aussi bien en wifi que cablé (connexion limitée
2) au démarrage j'ai une erreur avec le prgm Tempro de Toshiba

Merci

juju666 · Answer

Salut,

Pour ta connexion.

Démarrer -> Tous les programmes 
Click droit -> admin sur Invite de commandes

Tape, avec appui sur ENTER entre chaque lignes :

netsh winsock reset 

netsh int ip reset all

ipconfig /flushdns

ipconfig /release

ipconfig /renew
 
Redémare.

~~

au démarrage j'ai une erreur avec le prgm Tempro de Toshiba 

Réinstalle-le : http://eu.computers.toshiba-europe.com/tempro/ToshibaTEMPRO.zip

Balboa99 · Answer

Désolé mais j'ai appliqué ta procédure mais toujours pas de connexion Internet (local seulement)

juju666 · Answer

Télécharge  Farbar Service Scanner  sur ton Bureau.

&#x25CF; Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services


&#x25CF; Clique sur "Scan".
&#x25CF; Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et poste le lien obtenu en échange

Balboa99 · Answer

Voici le rapport

Farbar Service Scanner Version: 16-06-2013
Ran by Rebecca (administrator) on 23-06-2013 at 18:10:12
Running from "C:\Users\Rebecca\Desktop"
Windows Vista (TM) Home Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error. 
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\system32
sisvc.dll => MD5 is legit
C:\Windows\system32\Drivers
siproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers	dx.sys => MD5 is legit
C:\Windows\system32\Drivers	cpip.sys
[2013-06-12 12:15] - [2013-05-08 05:40] - 0914792 ____A (Microsoft Corporation) 078218D74C4EFC2CE7E4C6DF22A94F2F

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll
[2013-06-12 12:14] - [2013-04-24 06:00] - 0133120 ____A (Microsoft Corporation) 3EDE4C1F9672C972479201544969ADCB

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32pcss.dll => MD5 is legit


**** End of log ****

juju666 · Answer

C'est étrange?

&#9654; Télécharge ici : Windows Repair (all in one) (choisir Portable (3.34 MB) - Direct Download
&#9654; Lance le programme, à l'onglet Step 3 clique sur Do it , laisse se dérouler la vérification des fichiers système.
&#9654; Ensuite onglet Start Repairs, clique sur Start
&#x25CF; Coche les cases suivantes :
Repair Winsock & DNS Cache
Repair Proxy Settings

&#x25CF; Coche la case Restart/Shutdown System when finished et Restart System
&#9654; Clique sur Start et laisse l'outil travailler.

Balboa99 · Answer

ça n'a rien changé, toujours le même problème

j'ai essayé d'ajouter une adresse IP fixe mais ça marche pas non plus

juju666 · Answer

Réinstalle la carte réseau.

Balboa99 · Answer

C'est fait mais je ne peux toujours pas me connecter

juju666 · Answer

C'est moche ça !

J'ai épuisé mes connaissances sur le sujet, moi tu sais sorti des virus ...
Je demande aux collègues ;)

juju666 · Answer

Suis cete procédure et poste le rapport stp : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan

Balboa99 · Answer

Hello

Ce prgm pre-scan n'a rien apporté de nouveau

Toujours pas de connexion Internet

juju666 · Answer

Salut je peux voir le rapport ?

Balboa99 · Answer

Le voici

https://www.cjoint.com/?CFyoEJknY3F

juju666 · Answer

l'outil n'a pas terminé, relance-le clique sur Scan|Kill et poste le nouveau rapport

Balboa99 · Answer

Je l'ai lancé plusieurs fois mais il affiche une erreur après quelques minutes de fonctionnement:

Reparsepoint...please wait...
AutoIt Error
Line 12783 (File "C:\Users\Rebecca\Desktop\Pre_Scan.com")
Error: Array variable has incorrect number of subscripts or subscript dimension range exceeded

Ensuite je clique sur ok

Le bureau reste affiché mais vide. Je suis obligé de le redémarrer

juju666 · Answer

Ah flute, g3n n'est pas là, je lui en parlerais quand il sera rentré pour qu'il corrige cette erreur :)

Balboa99 · Answer

Ce n'est pas par hasard un service qui ne démarre pas ?

As-tu la liste des services nécessaires au bon fonctionnement du réseau TCP/IP ?

juju666 · Answer

ça aurait du être réparé par Windows Repair All In One.

g3n-h@ckm@n · Answer

salut retente en mode sans echec à mon avis tu ne coupes pas toutes tes protections

Balboa99 · Answer

J'ai la même erreur en mode sans échec

g3n-h@ckm@n · Answer

ce qui m'étonne le plus , c'est que j'ai pas de variable à cette ligne du code du programme.....

Balboa99 · Answer

Sur la page de téléchargement j'ai choisi la 3ème option (3ème lien de téléchargement)

Je l'ai téléchargé depuis un autre PC (car Internet ne fonctionne pas) et la 1ère option me lançait directement le prgm sur le PC

Balboa99 · Answer

Je suis allé voir dans l'observateur d'évènements et à chaque démarrage j'ai l'erreur suivante: Nom du journal :Application Source : Microsoft-Windows-WMI Date : 24.06.2013 17:17:33 ID de l'événement :10 Catégorie de la tâche :Aucun Niveau : Erreur Mots clés : Classique Utilisateur : N/A Ordinateur : Japan Description : Le filtre d'événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n'a pas pu être réactivé dans l'espace de noms « //./root/CIMV2 » à cause de l'erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé. XML de l'événement : 10 0 2 0 0 0x80000000000000 75781 Application Japan //./root/CIMV2 SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 0x80041003

g3n-h@ckm@n · Answer

attends

zippe ces deux fichiers et heberge-l'archive sur cjoint.com

C:\Pre_scan\$reparse 
C:\Pre_scan\$reparse2 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Balboa99 · Answer

Je n'ai trouvé qu'un fichier 

https://www.cjoint.com/?CFyrMbcNgIp

g3n-h@ckm@n · Answer

ok supprime tous les autres et prends cette version debug elle devrait terminer le scan

http://www.archive-host.com

Balboa99 · Answer

C'est normal que cela dure aussi long ?

Le prgm tourne bientôt depuis 1 heure

Balboa99 · Answer

Il me semble quand même que cela n'avance plus

Je le relance en mode sans échec ?

Balboa99 · Answer

Voilà il y a une fenêtre qui s'est affichée

Microsoft Visual C++ Runtime Library
This application has requested the Runtime to terminate it in an unusual way
Please contact the support for more information

Je clique sur ok mais le scan n'est toujours pas terminé

g3n-h@ckm@n · Answer

c'est marrant il est pas codé en C++ cet outil !!!

Balboa99 · Answer

ça commence à devenir laborieux

g3n-h@ckm@n · Answer

oui ben le WMI en plus y'a un bypass automatique quand il est en panne......

Balboa99 · Answer

Salut

La ligne d'avancement du prgm n'a pas avancé depuis hier soir donc il est bel et bien planté

Que faire ?

Merci

g3n-h@ckm@n · Answer

hello y'a ecrit quoi ?

Balboa99 · Answer

Reparsepoint please wait ...
La barre d'avancement n'a pas bougé depuis hier soir

g3n-h@ckm@n · Answer

ok arrête tout y'a un truc qui bloque

relance- le, clique sur diag et heberge le rapport pre_diag et donne le lien

Balboa99 · Answer

Voici le rapport

https://www.cjoint.com/?CFzuuxJx6om

g3n-h@ckm@n · Answer

c'est quoi ce délire ? 

tu fais quoi avec ton pc ? 

tu cliques n'importe où , installes n'importe quoi.....

Balboa99 · Answer

Pourquoi cette question ?

Je rappelle que ce PC n'est pas le mien

Balboa99 · Answer

non pas du tout

g3n-h@ckm@n · Answer

refais une suppression avec adwcleaner en mode sans echec

Balboa99 · Answer

Voici le rapport

# AdwCleaner v2.303 - Rapport créé le 25/06/2013 à 21:08:26
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Rebecca - JAPAN
# Mode de démarrage : Mode sans échec
# Exécuté depuis : C:\Users\Rebecca\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Rebecca\AppData\LocalLow\SimplyTech
Fichier Supprimé : C:\Windows\system32oboot.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{FB697452-8CA4-46B4-98B1-165C922A2EF3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1F02FB61-2BE5-4C16-8199-AEAA16EB0342}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BC9FD17D-30F6-4464-9E53-596A90AFF023}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKLM\Software\Classes\Installer\Features\9EE58E3C298524145B73CBBED3CAC4D3
Clé Supprimée : HKLM\Software\Classes\Installer\Products\9EE58E3C298524145B73CBBED3CAC4D3
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Classes\oneclick
Clé Supprimée : HKLM\SOFTWARE\Classes\oneclickmg
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DA9FC525-41ED-4C00-B046-946DA7CDD305}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jbpkiefagocgkmemidfngdkamloieekf
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pfmopbbadnfoelckkcmjjeaaegjpjjbk
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pmlghpafmmnmmkjdhacccolfgnkiboco
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{cfd485f0-96bd-47cd-bb6d-cd7dda95f102}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EE58E3C298524145B73CBBED3CAC4D3
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16490

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - Default] = hxxp://feed.snap.do/?publisher=QuickOC&dpid=QuickOC&co=CH&userid=9d722c5c-a265-43d5-8f9e-a44f525b9635&searchtype=ds&q={searchTerms}&installDate={installDate} --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - Default] = hxxp://feed.snap.do/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=CH&userid=d401428d-6a49-4230-8e5f-83b3f9762e96&searchtype=ds&q={searchTerms}&installDate=29/03/2013 --> hxxp://www.google.com

-\ Google Chrome v27.0.1453.116

Fichier : C:\Users\Rebecca\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [5394 octets] - [25/06/2013 21:08:26]

########## EOF - C:\AdwCleaner[S1].txt - [5454 octets] ##########

g3n-h@ckm@n · Answer

ok refais un diag maintenant

Balboa99 · Answer

Le voici

https://www.cjoint.com/?CFzwbxH1wDH

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\system32\auralog\tmm\NpTmmocx.dll 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse. 
 
=================================

freetorrent
utorrent
bittorrent
Pando media booster
Go for files

tu t'etonnes que le pc soit infecté ?

=================================

tu n'as aucun antivirus actif apparemment

=================================

sélectionne ce texte en gras puis CTRL + C :

Kill::

RegRead::
[HKLM\Software\Microsoft\Explorer] 

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{483830EE-A4CD-4b71-B0A3-3D82E62A6909}] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\47b2fce5-5c2c-4c93-a502-266edb611ffd] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\53a53f86-1d69-4bfd-9a64-722072debec0] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\7f72f6e8-7c8e-4fff-a3d0-8ad230d13e4a] 
[HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09EC805C-CB2E-4D53-B0D3-A75A428B81C7}]     
[HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\(null)] 
[HKLM\Software\BrowserChoice]     
[HKLM\Software\Wow6432Node\IB Updater] 
[HKCR\AppId\AlxSSB.EXE] 

File|Fold::
C:\ProgramData\fGa24500dDdIe24500 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\System32\Tasks\{87C3A154-9DA1-4DD5-967F-331F19AEE9BD}         
C:\Windows\System32\Tasks\{8FBD7A91-9A0C-4DA1-9E05-0472B663829E}         

Clean::

MBR::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Balboa99 · Answer

Salut 

Le rapport

https://www.virustotal.com/gui/file/78b3d0c151ff6efbb2bac9129a029190bf220984b059960bbd428b6b58c77373

Pour pre-scan, le prgm a travaillé toute la nuit. Ce matin écran noir et PC planté
Où se trouve le rapport ?

g3n-h@ckm@n · Answer

hello il se serait pas mis en veille prolongée plutot ?
c'est quoi que tu apelles planté ?

Balboa99 · Answer

Hello,

Non la veille prolongée est désactivée

Planté: écran figé en l'occurrence noir, pas de flèche de la souris, aucune touches ne fonctionne

Tu appelles ça comment toi ?

On peut réessayer le script mais peut-être une partie

Balboa99 · Answer

J'ai désactivé un maximum de prgm au démarrage et j'ai relancé winlogon avec le script

Cela a fonctionné, voici le rapport:


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0624 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Rebecca : Windows Vista (TM) Home Premium (32 bits)

Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html

New restorepoint created

Script : 22:14:27

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(844) -- PresentationFontCache.exe
(1076) -- Ati2evxx.exe
(1304) -- SLsvc.exe
(1772) -- spoolsv.exe
(2004) -- armsvc.exe
(2024) -- AppleMobileDeviceService.exe
(192) -- mDNSResponder.exe
(328) -- CFSvcs.exe
(636) -- o2flash.exe
(1372) -- TNaviSrv.exe
(200) -- TODDSrv.exe
(1568) -- TosCoSrv.exe
(2080) -- TosIPCSrv.exe
(2152) -- ULCDRSvr.exe
(2208) -- WLIDSVC.EXE
(2244) -- SearchIndexer.exe
(2292) -- XAudio.exe
(2360) -- WLIDSVCM.EXE
(2432) -- SmartFaceVWatchSrv.exe
(2680) -- WUDFHost.exe
(3000) -- taskeng.exe
(3444) -- taskeng.exe
(3552) -- explorer.exe
(2400) -- TOPI.exe
(2888) -- NDSTray.exe
(3336) -- iTunesHelper.exe
(3088) -- hpwuschd2.exe
(3840) -- TOSCDSPD.exe
(1236) -- sidebar.exe
(3372) -- Skype.exe
(3864) -- wmpnscfg.exe
(3920) -- hpqtra08.exe
(1072) -- MOM.exe
(1840) -- iPodService.exe
(2840) -- CCC.exe
(2580) -- CFSwMgr.exe
(4336) -- hpqste08.exe
(4396) -- hpqbam08.exe
(4428) -- hpqgpc01.exe
(5692) -- MSASCui.exe


¤¤¤¤¤¤¤¤¤¤ | RegRead : 


¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task 
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper 
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]: 
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{483830EE-A4CD-4b71-B0A3-3D82E62A6909}
Key not found :  HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\47b2fce5-5c2c-4c93-a502-266edb611ffd
Key not found :  HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\53a53f86-1d69-4bfd-9a64-722072debec0
Key not found :  HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\7f72f6e8-7c8e-4fff-a3d0-8ad230d13e4a
Key not found :  HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09EC805C-CB2E-4D53-B0D3-A75A428B81C7}
Key not found :  HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\(null) 
Key Deleted : HKLM\Software\BrowserChoice 
Key Deleted : HKLM\Software\Wow6432Node\IB Updater 
Key Deleted : HKCR\AppId\AlxSSB.EXE 

¤

C:\ProgramData\fGa24500dDdIe24500  : Not Found !
C:\Windows\System32\Tasks\CreateChoiceProcessTask  : Not Found !
C:\Windows\System32\Tasks\{87C3A154-9DA1-4DD5-967F-331F19AEE9BD}  : Not Found !
C:\Windows\System32\Tasks\{8FBD7A91-9A0C-4DA1-9E05-0472B663829E}  : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	TOSHIBA
BIOS Manufacturer:		TOSHIBA
System Manufacturer:		TOSHIBA
System Product Name:		Satellite P300
Logical Drives Mask:		0x0000003c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: Hitachi_HTS543225L9SA00 rev.FBEOC43C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys tcpip.sys NETIO.SYS dxgkrnl.sys 
1 ntkrnlpa!IofCallDriver[0x8225E916] -> \Device\Harddisk0\DR0[0x860EFAC8]
3 CLASSPNP[0x8A5118B3] -> ntkrnlpa!IofCallDriver[0x8225E916] -> \Device\Ide\IdeDeviceP0T0L0-0[0x84B8AB98]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0;  }
user & kernel MBR OK 

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 46759

Cleaning disk...

FreeSpace : 46757

¤


explorer.exe -> Process re-started

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 22:15:32

g3n-h@ckm@n · Answer

la veille prolongée est désactivée 

tu en es vraiment sûr ?

Balboa99 · Answer

Salut

Oui la veille pronogée est désactivée

Est-ce qu'il y a encore un espoir de récupérer la connexion Internet sur ce PC sans devoir le formater ?

Merci

g3n-h@ckm@n · Answer

reinitialise tes navigateurs voir ?

https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

Balboa99 · Answer

Salut 

J'ai réinitialisé mais ce ne'est pas ça le problème

Depuis samedi soir ma connexion aussi bien wifi que câblée est en accès "Local seulement"
Mon router (qui fonctionne très bien avec les autres PC) attribue une adresse IP 169.254.xxx.xxx
Même si j'attribue une adresse IP fixe genre 192.168.1.20 je ne peux pas accéder à Internet avec ce PC

g3n-h@ckm@n · Answer

ok 

touche windows + R

tape regedit

deplie avec les petits "+" 

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters
\Interfaces

Interface déplié, tu as plusieurs sous dossiers avec des chiffres lettres qui sont entre "{" et "}"

clique sur chacun d'eux j'usqu'à voir 169.254.xx.xx à droite 

double clique sur la valeur qui contient 169.etc.... et tu supprimes , tu laisses vierge et tu fermes 

ensuite toujours dans le tableau de droite , tu fais clic droit n'importe ou , pas sur une valeur => nouvelle => Valeur DWORD que tu nommes 

IPAutoconfigurationEnabled

sa valeur doit être à zéro automatiquement à droite

==

fais ca sur tous ceux qui contiennent 169.etc.....

ensuite redemarre la machine

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Balboa99 · Answer

Intéressant

J'ai 4 clés à gauche mais aucune valeur à droite avec une adresse IP 169.254.xx.xx 

J'ai ajouté une nouvelle valeur (à droite) sur chaque clé, nommée IPAutoconfigurationEnabled

mais toujours pas de connexion Internet : accès local seulement

Balboa99 · Answer

Oui c'est bien une valeur DWORD

Je l'ai ajoutée sur les 4 interfaces (sous dossiers "{""}") pour être sûr

g3n-h@ckm@n · Answer

touche windows + R puis tape 

services.msc

regarde si client dhcp est sur demarré et auto

Balboa99 · Answer

Oui il est sur Démarré et Auto

g3n-h@ckm@n · Answer

touche windows + R

tape cmd

dans la fenetre noire tape :

netsh winsock reset catalog

valide et redemarre l'ordinateur 
 
=====

si toujours pas :

télécharge et lance Minitoolbox : https://www.bleepingcomputer.com/download/minitoolbox/dl/65/

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

configure-le comme ceci :

http://www.archive-host.com

clique sur Go

poste Results.txt qui apparaitra en fin de scan à coté de l'executable
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Balboa99 · Answer

Accès refusé !?!

Alors que l'utilisateur est administrateur

g3n-h@ckm@n · Answer

ok fais ce que j'ai mis ensuite j'ai édité

Balboa99 · Answer

Le rapport MiniToolBox by Farbar Version: 16-06-2013 Ran by Rebecca (administrator) on 27-06-2013 at 23:53:22 Running from "C:\Users\Rebecca\Desktop" Windows Vista (TM) Home Premium Service Pack 2 (X86) Boot Mode: Normal *************************************************************************** ========================= Flush DNS: =================================== Configuration IP de Windows Impossible de vider le cache de r'solution DNS : La fonction a 'chou' lors de l'ex'cution. ========================= IE Proxy Settings: ============================== Proxy is not enabled. No Proxy Server is set. ========================= FF Proxy Settings: ============================== ========================= Hosts content: ================================= ::1 localhost # Start of entries 127.0.0.1 localhost ========================= IP Configuration: ================================ Marvell Yukon 88E8040T PCI-E Fast Ethernet Controller = Connexion au réseau local (Connected) Atheros AR9281 Wireless Network Adapter = Connexion réseau sans fil (Media disconnected) # ---------------------------------- # Configuration du protocole IPv4 # ---------------------------------- pushd interface ipv4 reset set global icmpredirects=enabled popd # Fin de la configuration du protocole IPv4 Configuration IP de Windows Nom de l'h"te . . . . . . . . . . : Japan Suffixe DNS principal . . . . . . : Type de noeud. . . . . . . . . . : Hybride Routage IP activ' . . . . . . . . : Non Proxy WINS activ' . . . . . . . . : Non Carte Ethernet Connexion au r'seau local : Suffixe DNS propre ... la connexion. . . : Description. . . . . . . . . . . . . . : Marvell Yukon 88E8040T PCI-E Fast Ethernet Controller Adresse physique . . . . . . . . . . . : 00-23-8B-A8-81-60 DHCP activ'. . . . . . . . . . . . . . : Oui Configuration automatique activ'e. . . : Oui Adresse d'autoconfiguration IPv4 . . . : 169.254.244.32(pr'f'r') Masque de sous-r'seau. . . .ÿ. . . . . : 255.255.0.0 Passerelle par d'faut. . . .ÿ. . . . . : NetBIOS sur Tcpip. . . . . . . . . . . : Activ' Carte r'seau sans fil Connexion r'seau sans filÿ: Statut du m'dia. . . . . . . . . . . . : M'dia d'connect' Suffixe DNS propre ... la connexion. . . : Description. . . . . . . . . . . . . . : Atheros AR9281 Wireless Network Adapter Adresse physique . . . . . . . . . . . : 00-24-D2-5B-4E-D7 DHCP activ'. . . . . . . . . . . . . . : Oui Configuration automatique activ'e. . . : Oui Carte Tunnel Connexion au r'seau local* : Statut du m'dia. . . . . . . . . . . . : M'dia d'connect' Suffixe DNS propre ... la connexion. . . : Description. . . . . . . . . . . . . . : isatap.{42886DC6-F0AF-4F1C-B90A-E8934F74A5C1} Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activ'. . . . . . . . . . . . . . : Non Configuration automatique activ'e. . . : Oui Carte Tunnel Connexion au r'seau local* 6 : Statut du m'dia. . . . . . . . . . . . : M'dia d'connect' Suffixe DNS propre ... la connexion. . . : Description. . . . . . . . . . . . . . : isatap.{988F1364-AC34-4524-8A45-A40F62D2C388} Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activ'. . . . . . . . . . . . . . : Non Configuration automatique activ'e. . . : Oui Carte Tunnel Connexion au r'seau local* 7 : Statut du m'dia. . . . . . . . . . . . : M'dia d'connect' Suffixe DNS propre ... la connexion. . . : Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Adresse physique . . . . . . . . . . . : 02-00-54-55-4E-01 DHCP activ'. . . . . . . . . . . . . . : Non Configuration automatique activ'e. . . : Oui Serveur : UnKnown Address: 127.0.0.1 La requ^te Ping n'a pas pu trouver l'h"te google.com. V'rifiez le nom et essayez ... nouveau. Serveur : UnKnown Address: 127.0.0.1 La requ^te Ping n'a pas pu trouver l'h"te yahoo.com. V'rifiez le nom et essayez ... nouveau. Envoi d'une requ^te 'Ping' 127.0.0.1 avec 32 octets de donn'esÿ: R'ponse de 127.0.0.1ÿ: octets=32 temps<1ms TTL=128 R'ponse de 127.0.0.1ÿ: octets=32 temps<1ms TTL=128 Statistiques Ping pour 127.0.0.1: Paquetsÿ: envoy's = 2, re#us = 2, perdus = 0 (perte 0%), Dur'e approximative des boucles en millisecondes : Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms =========================================================================== Liste d'Interfaces 14 ...00 23 8b a8 81 60 ...... Marvell Yukon 88E8040T PCI-E Fast Ethernet Controller 12 ...00 24 d2 5b 4e d7 ...... Atheros AR9281 Wireless Network Adapter 1 ........................... Software Loopback Interface 1 13 ...00 00 00 00 00 00 00 e0 isatap.{42886DC6-F0AF-4F1C-B90A-E8934F74A5C1} 15 ...00 00 00 00 00 00 00 e0 isatap.{988F1364-AC34-4524-8A45-A40F62D2C388} 10 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface =========================================================================== IPv4 Table de routage =========================================================================== Itin'raires actifsÿ: Destination r'seau Masque r'seau Adr. passerelle Adr. interface M'trique 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 169.254.0.0 255.255.0.0 On-link 169.254.244.32 276 169.254.244.32 255.255.255.255 On-link 169.254.244.32 276 169.254.255.255 255.255.255.255 On-link 169.254.244.32 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 169.254.244.32 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 169.254.244.32 276 =========================================================================== Itin'raires persistantsÿ: Aucun IPv6 Table de routage =========================================================================== Itin'raires actifsÿ: If Metric Network Destination Gateway 1 306 ::1/128 On-link 1 306 ff00::/8 On-link =========================================================================== Itin'raires persistantsÿ: Aucun ========================= Winsock entries ===================================== Catalog5 01 C:\Windows\system32\NLAapi.dll [48128] (Microsoft Corporation) Catalog5 02 C:\Windows\system32 apinsp.dll [50176] (Microsoft Corporation) Catalog5 03 C:\Windows\system32\pnrpnsp.dll [62464] (Microsoft Corporation) Catalog5 04 C:\Windows\system32\pnrpnsp.dll [62464] (Microsoft Corporation) Catalog5 05 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog5 06 C:\Windows\system32\winrnr.dll [19968] (Microsoft Corporation) Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.) Catalog9 01 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 02 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 03 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 04 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 05 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 06 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 07 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 08 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 09 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 10 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 11 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 12 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 13 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 14 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 15 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 16 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 17 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 18 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 19 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 20 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 21 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 22 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 23 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 24 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 25 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 26 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 27 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) Catalog9 28 C:\Windows\system32\mswsock.dll [223232] (Microsoft Corporation) ========================= Event log errors: =============================== Application errors: ================== Error: (06/27/2013 11:51:15 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 11:38:57 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 11:38:01 PM) (Source: EventSystem) (User: ) Description: d:\longhorn\com\complus\src\events ier1\eventsystemobj.cpp458007043c Error: (06/27/2013 11:06:01 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 09:38:01 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 09:30:09 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 09:13:59 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 09:04:15 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 08:54:00 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/27/2013 06:37:47 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 System errors: ============= Error: (06/27/2013 11:51:38 PM) (Source: Service Control Manager) (User: ) Description: Hôte de périphérique UPnPDécouverte SSDP%%0 Error: (06/27/2013 11:51:38 PM) (Source: DCOM) (User: ) Description: 1068upnphost{204810B9-73B2-11D4-BF42-00B0D0118B56} Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: Service Partage réseau du Lecteur Windows MediaHôte de périphérique UPnP%%1068 Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: Hôte de périphérique UPnPDécouverte SSDP%%0 Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: iaStor Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: Hôte de périphérique UPnPDécouverte SSDP%%0 Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: Agent de stratégie IPsec%%10022 Error: (06/27/2013 11:51:15 PM) (Source: Service Control Manager) (User: ) Description: Publication des ressources de découverte de fonctions%%2147942487 Error: (06/27/2013 11:38:57 PM) (Source: Service Control Manager) (User: ) Description: iaStor spldr Wanarpv6 Error: (06/27/2013 11:38:57 PM) (Source: Service Control Manager) (User: ) Description: Agent de stratégie IPsec%%10022 Microsoft Office Sessions: ========================= Error: (06/18/2013 11:54:22 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 6853 seconds with 1440 seconds of active time. This session ended with a crash. Error: (06/14/2013 10:52:46 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 1112 seconds with 960 seconds of active time. This session ended with a crash. Error: (06/14/2013 09:35:11 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 4647 seconds with 1920 seconds of active time. This session ended with a crash. Error: (06/04/2013 06:08:32 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 2494 seconds with 2460 seconds of active time. This session ended with a crash. Error: (05/20/2013 08:11:14 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 115470 seconds with 60 seconds of active time. This session ended with a crash. Error: (03/25/2013 08:03:29 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 67173 seconds with 17760 seconds of active time. This session ended with a crash. Error: (03/25/2013 01:23:45 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 18318 seconds with 5580 seconds of active time. This session ended with a crash. Error: (03/24/2013 08:10:03 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 119 seconds with 0 seconds of active time. This session ended with a crash. Error: (03/24/2013 08:07:11 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 7996 seconds with 5820 seconds of active time. This session ended with a crash. Error: (03/23/2013 09:27:37 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6668.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 805855 seconds with 6600 seconds of active time. This session ended with a crash. CodeIntegrity Errors: =================================== Date: 2013-04-07 12:31:12.826 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:12.202 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:11.546 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:10.922 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:10.267 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:09.628 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:08.972 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:08.348 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:07.709 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. Date: 2013-04-07 12:31:07.069 Description: Le module d'intégrité du code ne peut pas vérifier l'intégrité image du fichier \Device\HarddiskVolume2\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys car le jeu de hachages d'images par page n'a pas été trouvé sur le système. ========================= Devices: ================================ Name: Photosmart C6100 series Description: Photosmart C6100 series Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318} Manufacturer: HP Service: Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. **** End of log ****

g3n-h@ckm@n · Answer

tu l'as lancé avec le clic droit "executer en tant qu'administrateur" ? 

si c est pas le cas refais-le comme tel 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Balboa99 · Answer

Salut

Normalement oui mais je l'ai relancé encore une fois pour être sûr

Voici le rapport

https://www.cjoint.com/?CFCjVoMQT77

juju666 · Answer

Salut désinstalle TOUTES les cartes réseau dans le gestionnaire de périphériques, redémarre, Windows devrait en réinstaller une automatiquement, vois si ça fonctionne

Balboa99 · Answer

Salut

C'est fait, le PC a réinstallé les 2 cartes réseau mais la connexion est toujours "Local seulement"

juju666 · Answer

Y'a pas un conflit entre les 2 cartes par hasard ?

Balboa99 · Answer

Non les 2 cartes réseau sont "Ce périphérique fonctionne correctement"

juju666 · Answer

Qu'il dit ...

Enlèves-en une !

Balboa99 · Answer

J'ai effectué l'essai suivant:

J'ai désactivé dans les propriétés de connexion:
- Protocole IPV6
- Jump start Wireless File Driver
- Planificateur de paquets QoS
- Pilote d'E/S du mappage de découverte de topologie
- Répondeur de découverte de topologie de la couche ...

Et remis une adresse IP fixe

et BINGO j'ai la connexion Internet !

juju666 · Answer

Eh ben super :)

Balboa99 · Answer

Encore un souci

J'ai donc pu installer Avast

Mais même que la connexion indique accès: Réseau local et Internet je ne peux pas afficher de page dans un navigateur
Je peux par contre effectuer des mises à jour de programmes

J'ai mis les DNS de UPC-Cablecom soit 62.2.17.60 et 62.2.24.158

juju666 · Answer

Pouarf déjà que je séchais (pour ça que je t'ai envoyé g3n) ...
Tu sais moi sorti des virus ...

Balboa99 · Answer

Ok alors pour résumé, la connexion Internet ne fonctionne que sur le compte Administrateur (c'est déjà ça)

Si ça ce n'est pas de la persévérance ..

Un grand merci à juju666 et g3n-h@ckm@n pour leur aide

Bon week-end

PC avec spywares

109 réponses

Votre réponse

Newsletters