KERIO firewall gros plantaga PC Résolu/Fermé

Question

Bonjour,
j'ai voulu installer KERIO.  A la fin de l'instal, le wizard à relancé le pc et à commencé la galère... Fenêtre DLL corrompue et demande de connection à internet dès la mise ne route PC puis, le pc perd ses nicnacs; Sablier quand pointeur sur Barre démarrer (tout le bas de l'écran inaccessible, aucune application exécutable sur le bureau,...)
et en quelques secondes plus rien ne répond, souris ne bouge plus.

J'avais pris soin de désactiver le FWall Windows par PanConfig/Réseau/... avant install de KERIO
En mode sans échec, j'ai réussi à suspendre KERIO (plus d'icone bouclier bleu dans barre inférieure droite mais à la relance j'ai toujours la demande de connection à internet (je travaille habituellement avec un modem 56K)

MORALITE: Je regrette maintenant de ne pas avoir fait un point de restauration avant cette installation

Pour info, je suis pour l'instant sur un autre PC qui  fonctionne.


D'avance merci d'avance pour votre temps consacré à résoudre mon problème.

Voici pour info smitfraudfix
SmitFraudFix v2.105

Rapport fait à 11:30:37,67, sam. 21/07/2007
Executé à partir de C:\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\desktop.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

C:\WINDOWS\system\svchost.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GTLAGAFFE


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GTLAGAFFE\Application Data

C:\Documents and Settings\GTLAGAFFE\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GTLAGAFF~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\BraveSentry\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

poussin59 · Answer

Salut gtlagaffe,

En mode sans echec, desinstall kerio.

Procedure de nettoyage SmitfraudFix.exe :

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes) 
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage 
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
 
Lance SmitfraudFix.exe et choisis cette fois l'Option 2 et réponds oui à la ou les questions. 
Sauvegarde le rapport sur ton Bureau. 
 
Redémarre normalement.

puis,

Procedure de recherche Navilog1

Télécharge 
navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
= Install le 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : 
dans ==> C : fixnavi.txt 

Ensuite

** telecharge AVG Anti-Spyware (ewido) 
avg anti spyware

Prend le premier lien ..........

Tu l'installes et lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Si tu n'arrives pas à le mettre à jour prends les ici : 
http://downloads.ewido.net/avgas-signatures-full-current.exe 

Fait dans l'ordre SVP ( Surtout ) 

==> Clique sur le bouton Analyse (de la barre d'outils) 
==> Puis sur l'onglet Paramètres 
==> Sous la rubrique : "Comment réagir " clique sur Actions recommandées. Sélectionne Quarantaine. 
==> Retourne sur l'onglet Analyse. 
==> Clique sur Analyse complète du système 

"Appliquer toutes les actions " en bas. 

Clique sur "Enregistrer le rapport". 

Le rapport en fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 

** utilise Ccleaner pour tout nettoyer avant de lancer HijackThis 
https://filehippo.com/download_ccleaner/ 

telecharge Hijackthis en version française
http://telechargement.zebulon.fr/hijackthis-fr.html
Install le
Lance Hitjackthis
Click sur faire un scan et sauvegarder le log
Sauvegarde le fichier texte sur ton burreau
ferme Hitjackthis

Une fois ces actions effectuées, tu devriez avoir un système plus propre : 

Ils faut vraiment que tu fasse ces analyses. 

Reviens avec les rapports :
navilog1 
AVG Anti-Spyware 
hijackthis


@+

gtlagaffe · Answer

Salut Poussin 59,
Je viens de recevoir ton message,j'ai entretemps fait unHijjackThis dont rapport ci dessous
Je te le transmet pour info
et attend confirmation avant procéder à tes instructions

Logfile of HijackThis v1.99.1
Scan saved at 14:14:02, on 21/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [eysli.exe] C:\WINDOWS\System32\eysli.exe
O4 - HKLM\..\Run: [vqgel.exe] C:\WINDOWS\System32\vqgel.exe
O4 - HKLM\..\Run: [hhitl.exe] C:\WINDOWS\System32\hhitl.exe
O4 - HKLM\..\Run: [uuyvu.exe] C:\WINDOWS\System32\uuyvu.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\btn5026v7.exe
O4 - HKLM\..\Run: [smgr] smgr.exe
O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: MSCOMM32.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O4 - Global Startup: Uninstall.exe~
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DBCF5B4-F459-450A-8B57-D61D91D627B5}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E94B718-13B7-41FC-98F1-BABBAC8CA719}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{76EF8C6F-ABE7-45EB-AB1D-496BC852BFFB}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{848929FF-7121-4CFE-87E0-2CD13031A144}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.41 85.255.112.25
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.41 85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.41 85.255.112.25
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

poussin59 · Answer

Re,

Ecoute, j'ai regarder ton Log et apparament tu a pas mal de problemes.

J'attend que tu fasse ce que je t'ai demander, pour voir.

Tu n'a pas le SP2, pourquoi ?
Tu na pas fait la mise a jour de Internet Explorer ?
Tu n'a pas Anti-virus non plus, si c'est un probleme de prix, essaye Avast, il est gratuit.?


Un conseil, fait ta mise a jour SP2, c'est mieux.

@+, j'attend tes rapport.

j'avais oublier de demander de mettre le rapport de SmitfraudFix aussi.

gtlagaffe · Answer

Tu as raison sur toute la ligne...
Revenons à ta procédure,
1)desinstaller KERIO
Pas possible de désinstaller Kerio en mode sans echec,
c'est ce que me répond windows quand je lance à partir
de PanConfig/instal,desinstal...
et en fouillant dans repertoire ProgFiles/Sunbelt/Kerio pas d'executable de désinstallation.
J'ai bien pêché le logfile de Kerio dont détail ci-dessous.
Pour ce que j'en déduit, son instal n'est pas terminé,Kerio veut a tout prix contacter sa mère.(pour rappel, en mode normal Kerio ce lance et le PC tombe en panne avant que je n'ai le temps de lancer la connection internet par modem)
------
[21/Jul/2007 03:05:41] 
[21/Jul/2007 03:05:41] +------------------------------------------+
[21/Jul/2007 03:05:41] |              Service start               |
[21/Jul/2007 03:05:41] +------------------------------------------+
[21/Jul/2007 03:05:41] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 03:05:41] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 03:05:41] System: Windows XP.
[21/Jul/2007 03:05:41] Config.cpp: Configuration file "C:\Program Files\Sunbelt Software\Personal Firewall\config\kpf.cfg" not found.
[21/Jul/2007 03:05:41] Config.cpp: Configuration file "C:\Program Files\Sunbelt Software\Personal Firewall\config\kpf.cfg.bak" not found.
[21/Jul/2007 03:05:41] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 03:05:41] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 03:05:41] kwsapi: Could not connect to Security Center.
[21/Jul/2007 03:09:39] 
[21/Jul/2007 03:09:39] +------------------------------------------+
[21/Jul/2007 03:09:39] |              Service start               |
[21/Jul/2007 03:09:39] +------------------------------------------+
[21/Jul/2007 03:09:39] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 03:09:39] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 03:09:39] System: Windows XP.
[21/Jul/2007 03:09:39] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 03:09:39] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 03:09:39] kwsapi: Could not connect to Security Center.
[21/Jul/2007 03:25:08] 
[21/Jul/2007 03:25:08] +------------------------------------------+
[21/Jul/2007 03:25:08] |              Service start               |
[21/Jul/2007 03:25:08] +------------------------------------------+
[21/Jul/2007 03:25:08] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 03:25:08] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 03:25:08] System: Windows XP.
[21/Jul/2007 03:25:08] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 03:25:08] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 03:25:08] kwsapi: Could not connect to Security Center.
[21/Jul/2007 03:25:10] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 03:25:16] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 03:30:30] 
[21/Jul/2007 03:30:30] +------------------------------------------+
[21/Jul/2007 03:30:30] |              Service start               |
[21/Jul/2007 03:30:30] +------------------------------------------+
[21/Jul/2007 03:30:30] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 03:30:30] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 03:30:30] System: Windows XP.
[21/Jul/2007 03:30:30] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 03:30:30] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 03:30:30] kwsapi: Could not connect to Security Center.
[21/Jul/2007 03:30:32] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 03:30:38] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 03:33:49] 
[21/Jul/2007 03:33:49] +------------------------------------------+
[21/Jul/2007 03:33:49] |              Service start               |
[21/Jul/2007 03:33:49] +------------------------------------------+
[21/Jul/2007 03:33:49] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 03:33:49] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 03:33:49] System: Windows XP.
[21/Jul/2007 03:33:49] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 03:33:49] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 03:33:49] kwsapi: Could not connect to Security Center.
[21/Jul/2007 11:15:03] 
[21/Jul/2007 11:15:03] +------------------------------------------+
[21/Jul/2007 11:15:03] |              Service start               |
[21/Jul/2007 11:15:03] +------------------------------------------+
[21/Jul/2007 11:15:03] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 11:15:03] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 11:15:03] System: Windows XP.
[21/Jul/2007 11:15:03] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 11:15:03] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 11:15:03] kwsapi: Could not connect to Security Center.
[21/Jul/2007 11:15:05] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 11:15:11] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 11:18:13] 
[21/Jul/2007 11:18:13] +------------------------------------------+
[21/Jul/2007 11:18:13] |              Service start               |
[21/Jul/2007 11:18:13] +------------------------------------------+
[21/Jul/2007 11:18:13] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 11:18:13] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 11:18:13] System: Windows XP.
[21/Jul/2007 11:18:13] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 11:18:13] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 11:18:13] kwsapi: Could not connect to Security Center.
[21/Jul/2007 11:18:15] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 11:18:21] Config.cpp: Error sending cfg to driver: Not initialized.
[21/Jul/2007 11:24:09] 
[21/Jul/2007 11:24:09] +------------------------------------------+
[21/Jul/2007 11:24:09] |              Service start               |
[21/Jul/2007 11:24:09] +------------------------------------------+
[21/Jul/2007 11:24:09] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 11:24:09] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 11:24:09] System: Windows XP.
[21/Jul/2007 11:24:09] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 11:24:09] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 11:24:09] kwsapi: Could not connect to Security Center.
[21/Jul/2007 11:55:51] 
[21/Jul/2007 11:55:51] +------------------------------------------+
[21/Jul/2007 11:55:51] |              Service start               |
[21/Jul/2007 11:55:51] +------------------------------------------+
[21/Jul/2007 11:55:51] Sunbelt Kerio Personal Firewall 4.3.744 T.
[21/Jul/2007 11:55:51] © 2002-2007 Sunbelt Software, Inc. Web site http://www.Sunbelt-software.com/
[21/Jul/2007 11:55:51] System: Windows XP.
[21/Jul/2007 11:55:51] kwsapi: Could not create instance of NetFwMgr: Classe non enregistrÃ©e (0x80040154) .
[21/Jul/2007 11:55:51] kwsapi: set: WindowsFirewall is not initialized.
[21/Jul/2007 11:55:51] kwsapi: Could not connect to Security Center.
-----------

Comment pourrais-je contourner se probs d'installation non terminée avant de continuer ta procédure?
J'ai bien envie de renommer l'application principale et de lancer un autre programme à sa place pour voir si le pc pourra alors normalement, après quoi, je continurait la procédure.
Ou Bien je passe l'étape 1 et lance SmitFraud option 2? (en sautant l'étape 1)

Qu'est ce qu'on fait? Merci encore pour le temps que tu me consacre

poussin59 · Answer

Re,

Passe l'etape 1 et fait la 2eme puis le reste.

on verra bien.

@+

gtlagaffe · Answer

Voici le rapport SMIT avec option 2 (oui à toutes les questions)
...(voir plus bas)

SmitFraudFix v2.105

Rapport fait à 15:46:28,84, sam. 21/07/2007
Executé à partir de C:\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\desktop.html supprimé
C:\WINDOWS\system\svchost.dll supprimé
C:\Program Files\BraveSentry\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

... ensuite redémarrage normal mais la plantage continue...
j'ai un message de sunbelt/kerio qui ouvre la fenêtre habituelle de connection internet (+fenetre d'erreur sunbelt/Kerio ...GUI)et quand je tape le mot de passe de connection, je n'ai même pas la tonalité de connection habituelle.
La fenêtre de connection reste bêtement ouverte jusqu à blocage complet du pc.

Que me propose tu?  Pour ma part probs ne doit pas être résolu immédiatement et je dois ,perso, vaquer à d'autres occupations.
Parfois il vaut mieux laisse murir la question.

Demain je suis disponible
Attend ta réponse.
Encore merci

poussin59 · Answer

Ok, a demain

On va essaye de restaurer le system a une date anterieure.

@+

gtlagaffe · Answer

Salut Poussin59,
Je suis en train de consulter le site forum de CCM à la recherche d'un problème similaire au mien.
A tout à l'heure...

gtlagaffe · Answer

J'ai une touche sur la page suivante:
https://www.commentcamarche.net/faq/3400-supprimer-un-fichier-verrouille-dans-la-memoire

poussin59 · Answer

Re,

Dsl, pour la reponse tardive, mais j'ai eu un repas de famille....

On va essayer de faire les autres manip en mode sans echec, a mon avis c'est un virus qui bloque ton accces a windows en mode normal.



** telecharge AVG Anti-Spyware (ewido) 
avg anti spyware

Prend le premier lien ..........

Tu l'installes et lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Si tu n'arrives pas à le mettre à jour prends les ici : 
http://downloads.ewido.net/avgas-signatures-full-current.exe 

Fait dans l'ordre SVP ( Surtout ) 

==> Clique sur le bouton Analyse (de la barre d'outils) 
==> Puis sur l'onglet Paramètres 
==> Sous la rubrique : "Comment réagir " clique sur Actions recommandées. Sélectionne Quarantaine. 
==> Retourne sur l'onglet Analyse. 
==> Clique sur Analyse complète du système 

"Appliquer toutes les actions " en bas. 

Clique sur "Enregistrer le rapport". 

Le rapport en fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 

** utilise Ccleaner pour tout nettoyer avant de lancer HijackThis 
https://filehippo.com/download_ccleaner/ 

telecharge Hijackthis en version française
http://telechargement.zebulon.fr/hijackthis-fr.html

Procedure de recherche Navilog1

Télécharge 
navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
= Install le 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : 
dans ==> C : fixnavi.txt 


Poste les rapports suivant :
AVG Anti-Spyware (ewido)
navilog1
Hijackthis

gtlagaffe · Answer

Pas de problème, il faut bien manger et autant le faire agréablement.
De mon côté je me suis documenté et essayé de me "glisser"dans la routine de démarrage normal jusqu'au blocage ou apparait toujours la fenêtre de demande de connection internet modem.. et là si je tape mot de passe, pas de communication et même pas le bruit de connection habituelle.  En outre apparaît (parfois) en surimpression une fenetre d'erreur "SUNBELT KERIO PERSONAL FIREWALL 4-GUI"-"Cannot connect to service"... Un virus ou autre à en effet endommager le module de connection internet. Je vais vite vérifier si pas moyen de jeter un sur sur paramètre de connection internet/modem

Je crains de rajouter des couches de plantage sur couches précedentes mais je le ferai si il n'y a pas d'autre solutions(aussi j'ai bien noté des instructions et les suivrai pas-à-pas)

Je suis de retour dans 1/4heure

gtlagaffe · Answer

Il y a du changement... mais pas dans le bon sens
En mode ss echec:panneau config/connection réseau pas accessible et c'est normal
En mode ss échec avec prise en charge réseau: dans pan.config/connection rés. seulement apparaisse les connection hautdébit..donc je ne suis pas plus avancé.
En mode normal: pendant les quelques secondes ou la fenêtre de connection internet est active, j'ai muté l'option "utiliser la connection par défaut" en "ne jamais établir de connnection" du coup...
En démarrage normal la fenêtre de connection n'apparaît plus mais le bureau reste inactif comme avant. Le pionteur souris bouge mais aucun lien ne réagit par click gauche souris, clavier inactif également.
Il faut donc continuer à travailler en mode sans échec pour lancer AVG anti-spyware.
De retour dans 20min.

gtlagaffe · Answer

AVG ASpy est en cours d'analyse

gtlagaffe · Answer

AVG ASpy toujours en cours reste 50%environ à analyser
AVG à déjà listé pas mal de choses...

poussin59 · Answer

Re,

Continue, moi de mon cote, je croi avoir trouver le probleme avec KERIO et le demarage en mode normal,
On regardera juste apres le scan AVG

A tout .....

gtlagaffe · Answer

AVG Anti-Spyware à terminé son scan
Voici le rapport:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	17:46:23 22/07/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smgr -> Adware.Generic : Erreur lors du nettoyage.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0024822.exe -> Adware.Spysheriff : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\drivers\secdrv.sys -> Downloader.Agent.acl : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\drivers\uzcx.exe -> Downloader.Agent.bfw : Nettoyé et sauvegardé (mise en quarantaine).
C:\sysieqs.exe -> Downloader.Agent.bfw : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\GTLAGAFFE\Local Settings\Temp\3823843.exe -> Downloader.Alphabet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\smgr.exe -> Downloader.Alphabet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\smgr.exe~ -> Downloader.Alphabet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\avp.exe -> Downloader.Alphabet.b : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\btn5026v7.exe -> Downloader.Alphabet.b : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\programmation\Local Settings\Temporary Internet Files\Content.IE5\I11UVI5O\188[1].ani -> Downloader.Ani.gen : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MSCOMM32.EXE -> Downloader.Small.bta : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\iedld32.dll -> Downloader.Small.bta : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\mshlpa.exe -> Logger.Agent.od : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\xkaeuwo.exe -> Not-A-Virus.Hoax.Win32.Renos.hr : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\drv.sys -> Not-A-Virus.Hoax.Win32.Renos.hr : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system\SVCHOST.EXE.0.AVB -> Proxy.Agent.jo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lanmandrv.sys -> Rootkit.Agent.gk : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ksys.sys -> Rootkit.NtRootKit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0020717.exe -> Trojan.Agent.aia : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0020725.exe -> Trojan.Agent.aia : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Downloaded Program Files\start.INF -> Trojan.Dagonit.inf : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Uninstall.exe~ -> Trojan.Fakealert : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

J'ai essayé après cela un démarrage en mode normal et kerio me fait toujours le même message  "cannot open.." puis plantage progressif.  Bureau inactif dès le début de cession.

gtlagaffe · Answer

Belle brochette de saloperies...pas vrai.

Pour info, hier juste après l'installation de KERIO j'ai eu un message de DLL manquant ou failed ou... je me souvient plus très bien.
Je n'ai plus eu ce genre de message depuis/

poussin59 · Answer

OK,

On va essaye ce que je pense, en mode sans echec, puisque tu n'a que se mode la

on y va

Menu Démarrer => Exécuter
Tu tape services.msc

Une fenetre services s'ouvre,
Recherche dans la partie droite : Sunbelt Kerio Personal Firewall 4 (KPF4)
Quand tu le trouve tu Clique 2 fois dessus
Une fenetre proprietes s'ouvre
Dans l'onglet general
Sous la rubrique : Type de demarrage selectionne Desactive
Clique sur Appliquer et Ok
Quitte la fenetre services
Et essaye de redemarrer le PC en mode Normal
Si sa fonctionne, desinstalle KERIO et fait les procedures suivantes

Procedure de recherche Navilog1

Télécharge 
navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
= Install le 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : 
dans ==> C : fixnavi.txt 

** utilise Ccleaner pour tout nettoyer avant de lancer HijackThis 
https://filehippo.com/download_ccleaner/ 

Puis,

Poste les rapport suivant :
navilog1 
hijackthis

@+

gtlagaffe · Answer

J'ai effectué la première procédure et de fait j'ai pu localisé et désactiver le démarrage.

Ensuite en lancant en mode normal j'ai eu un message d'un nouveau type "E process violation" et le pc finit par de planter.

En essayant plusieurs fois de suite, plus de message mais la plantation continue.  Plus d'action quand je clique sur éléments bureau, et quand clique sur Démarrer, la fenêtre habituelle s'ouvre mais ne veut plus se refermer et toutes fonctions et programmes contenus inutilisables. J'ai l'impression que l'explorateur est abîmé.

Si ça t'intéresse j'arrive à appeler le célèbre ctrl alt del et la fenêtre  des applications en cours apparaît. Là aussi dans la barre d'outils il y a une fonction éxécuter mais quand de là j'appelle Parcourir, affichage fenêtre blanche explorateur sans rien et puis plantage.

poussin59 · Answer

Re,

On va essayer de faire une restauration en mode sans echec,

Tu redemarre en mode sans echec, puis menu demarrer

Tout les programme

Accessoires

outils system

Restauration du system

Tu choisis restaurer mon system a une heure anterieure

Puis la tu selection un point de restauration a une date anterieure a l'installation de KERIO

Si ça marche, refait tout les procedure :

En mode sans echec, desinstall kerio. 

Procedure de SmitfraudFix.exe : 

Lance SmitfraudFix.exe et choisis cette fois l'Option 1 et réponds oui à la ou les questions. 
Sauvegarde le rapport sur ton Bureau. 

puis, 

Procedure de recherche Navilog1 

Télécharge 
navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
= Install le 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : 
dans ==> C : fixnavi.txt 

Ensuite 

** telecharge AVG Anti-Spyware (ewido) 
avg anti spyware 

Prend le premier lien .......... 

Tu l'installes et lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Si tu n'arrives pas à le mettre à jour prends les ici : 
http://downloads.ewido.net/avgas-signatures-full-current.exe 

Fait dans l'ordre SVP ( Surtout ) 

==> Clique sur le bouton Analyse (de la barre d'outils) 
==> Puis sur l'onglet Paramètres 
==> Sous la rubrique : "Comment réagir " clique sur Actions recommandées. Sélectionne Quarantaine. 
==> Retourne sur l'onglet Analyse. 
==> Clique sur Analyse complète du système 

"Appliquer toutes les actions " en bas. 

Clique sur "Enregistrer le rapport". 

Le rapport en fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 

** utilise Ccleaner pour tout nettoyer avant de lancer HijackThis 
https://filehippo.com/download_ccleaner/ 

telecharge Hijackthis en version française 
http://telechargement.zebulon.fr/hijackthis-fr.html 
Install le 
Lance Hitjackthis 
Click sur faire un scan et sauvegarder le log 
Sauvegarde le fichier texte sur ton burreau 
ferme Hitjackthis 

Une fois ces actions effectuées, tu devriez avoir un système plus propre : 

Ils faut vraiment que tu fasse ces analyses. 

Reviens avec les rapports : 
navilog1 
AVG Anti-Spyware 
hijackthis 


@+

gtlagaffe · Answer

No way
J'ai entamé la restauration en mode sans échec mais
le calendrier ne propose aucun point de restauration.
C-à-d que le calendrier s'affiche bien mais qu'aucune date n'est en gras. Quand je choisis une date rien ne se passe.
En voulant choisir un mois précedent, rien ne se passe.
Je pense qu'il n y a pas eu de point de restauration crées.
Pourtant mon PC fonctionnait relativement bien jusqu'au 20/07/07.
Que dois-je faire?

poussin59 · Answer

Ok,

Si tu choisis au demarrage le mode

Demarrage a la dernier bonne configurations choisis au lieux de mode sans echec

pourvoir.....

gtlagaffe · Answer

Démarrage en mode sans echec spécial (à la dernière mis en route valide)
J'ai effectué cette option de démarrage...
Malheureusement le pc se plante de la même manière dès la mise en route en mode normal: applications présentes sur bureau mais on ne sait pas les lancer et dès qu'on click sur Démarrer, cette fenetre ne disparaît plus et l'écran se fige.
Note: je dispose de certains CD recu avec le PCMedion/Aldi en question.
Je reste dans l'attente de tes avis

poussin59 · Answer

Re,

Je croi avoir trouver ou est le probleme,

Envoie moi un Log Hitjack juste pour verifier une choses

J'attend ta reponse

@+

gtlagaffe · Answer

Rapport Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 21:32:04, on 22/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.be/ALDI_BF/home.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [eysli.exe] C:\WINDOWS\System32\eysli.exe
O4 - HKLM\..\Run: [vqgel.exe] C:\WINDOWS\System32\vqgel.exe
O4 - HKLM\..\Run: [hhitl.exe] C:\WINDOWS\System32\hhitl.exe
O4 - HKLM\..\Run: [uuyvu.exe] C:\WINDOWS\System32\uuyvu.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DBCF5B4-F459-450A-8B57-D61D91D627B5}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E94B718-13B7-41FC-98F1-BABBAC8CA719}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{76EF8C6F-ABE7-45EB-AB1D-496BC852BFFB}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{848929FF-7121-4CFE-87E0-2CD13031A144}: NameServer = 85.255.114.41,85.255.112.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.41 85.255.112.25
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

poussin59 · Answer

re,

A mon avis l'installation de KERIO n'est pas fini et elle veut se terminer a redemarrage, on va suprimer la tache qui se lance au demarrage + d'autre choses que j'ai vu dans ton Log

Il me semble que cette phase : O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe soit le lancement de la fin d'installation de KERIO. on verra

Sur HijackThis, refais un scan et coches les lignes suivantes : 

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [eysli.exe] C:\WINDOWS\System32\eysli.exe
O4 - HKLM\..\Run: [vqgel.exe] C:\WINDOWS\System32\vqgel.exe
O4 - HKLM\..\Run: [hhitl.exe] C:\WINDOWS\System32\hhitl.exe
O4 - HKLM\..\Run: [uuyvu.exe] C:\WINDOWS\System32\uuyvu.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

---> puis clic sur le bouton "Fixer Objet"

Apres sa, essaye de demarrer en mode normal.
tien moi au courrant
@+

gtlagaffe · Answer

SUPER:)  MON PC FONCTIONNE A NOUVEAU
J'ai fixé les par Hijack les lignes communiquées et relancé le PC...
Et miracle!!!! Le bureau est actif à 100%
J'ai lancé des applications et elles démarrent.
J'ai directement fais un point de restauration, on ne sait jamais.
J'ai ensuite lancé IE sur la page de dém habituelle et...
directement AVG AntiSpy à détecté le trojan suivant...
"Trojan Dialer" L'anti spy m'a proposé de le mettre en quarantaine.
C'est ce que j'ai fait maintenent.

Tout ceci pour te remercier encore infiniment pour le temps que tu m'as consacrés.

Bien @micalement,

poussin59 · Answer

Ok,

Pas de probleme

@+

gtlagaffe · Answer

Salut Poussin59,
Bien dormi? Moi j'étais sur mon petit nuage...
Voici le Rapport fixWO
Username "GTLAGAFFE" - 2007-07-23  8:24:46 [Fixwareout edited 2007/07/05]

»»»»»Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.41 85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{2DBCF5B4-F459-450A-8B57-D61D91D627B5} 
"nameserver"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{4E94B718-13B7-41FC-98F1-BABBAC8CA719} 
"nameserver"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{76EF8C6F-ABE7-45EB-AB1D-496BC852BFFB} 
"nameserver"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{848929FF-7121-4CFE-87E0-2CD13031A144} 
"nameserver"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{4E94B718-13B7-41FC-98F1-BABBAC8CA719}
"DhcpNameServer"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{76EF8C6F-ABE7-45EB-AB1D-496BC852BFFB}
"DhcpNameServer"="85.255.114.41,85.255.112.25" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{848929FF-7121-4CFE-87E0-2CD13031A144}
"DhcpNameServer"="85.255.114.41,85.255.112.25" <Value cleared.


System was rebooted successfully. 
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
C:\WINDOWS\System32\danbk.exe    Deleted
C:\WINDOWS\System32\fgzpx.exe    Deleted
....
»»»»» Misc files. 
C:\Documents and Settings\GTLAGAFFE\Application Data\Install.dat Deleted
C:\WINDOWS\System32\kernel32.exe Deleted
....
»»»»» Checking for older varients.
....

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"PCMService"="\"C:\Program Files\Home Cinema\PowerCinema\PCMService.exe\""
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"USSShReg"="C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r"
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe"
"TrustInstaller"="G:\Setup.exe"
"mwinpcv"="ipsurpte.exe"
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Comme il y a un second compte utilisateur, j'ai lancé la même application sur ce compte, voici le rapportFixWO sur LuckyPlug

Username "LUCKYPLUG" - 2007-07-23  8:40:06 [Fixwareout edited 2007/07/05]

»»»»»Prerun check


System was rebooted successfully. 
 
»»»»» Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
»»»»» Misc files. 
C:\Documents and Settings\LUCKYPLUG\Application Data\Install.dat Deleted
....
»»»»» Checking for older varients.
....

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"PCMService"="\"C:\Program Files\Home Cinema\PowerCinema\PCMService.exe\""
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"USSShReg"="C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r"
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe"
"TrustInstaller"="G:\Setup.exe"
"mwinpcv"="ipsurpte.exe"
"!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mwinpcv"="ipsurpte.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Quant à l'auteur de ce Wareout, je vais écrire un courrier au service compétant.

Ce soir je lance Navilog en utilisant option 1 ensuite ccleaner puis HijjackThis et enverrai ici les rapports (vers19H00)
Bonne journée

gtlagaffe · Answer

Bonsoir Poussin59. Espère que tu as passé une bonne journée.
Voici la suite des différents rapports demandés.
Search Navipromo version 2.0.5 commencé le lun. 23/07/2007 à 19:27:39,85
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\GTLAGAFFE\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le lun. 23/07/2007 à 19:31:33,79 *** 

et HijackThis...
Logfile of HijackThis v1.99.1
Scan saved at 19:53:31, on 23/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
H:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.be/ALDI_BF/home.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKLM\..\Run: [mwinpcv] ipsurpte.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: New Shortcut-1.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2821fd5ae350f9e3a216/netzip/RdxIE601_fr.cab
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dis-moi ? Encore des bonnes nouvelles?
A propos de mon problème de départ (installer un firewall) lequel serait le plus indiqué dans mon cas?
Autre question: Le problème de base est résolu, doit-on clore et  se retrouver dans une autre discussion?

poussin59 · Answer

Salut, Bonne Journee ?

Moi oui, sauf la pluie

Bon pour revenir a tes questions, non, on va finir de regler tes probleme ici.
Pour ton probleme de wareout sur ton PC, c'est regler, plus rien sur le log Hijackthis.
pour le firewall, a tu essaye de desinstaller KERIO, si tu peut, sinon tu peut le suprimer directement en effacent sont repertoire, il me semble que plus rien de kerio ce lance au demarrage.

Il faudrait que tu verifi la position d'un fichier :

ipsurpte.exe

Menu demarrer=====Rechercher

Donne moi l'enplacement du fichier Repertoire compler

Et

Fait un scanne AVG antiSpysware en mode normal. poste sont rapport

Ensuite,

==> Télécharge Pocket KillBox sur ton bureau. (petit utilitaire qui permet de supprimer des fichiers récalcitrants) 
http://www.killbox.net/downloads/KillBox.exe 

==> Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot". 
Copie la lignes ci-dessous : 

C:\WINDOWS\System32\eysli.exe 
C:\WINDOWS\System32\vqgel.exe 
C:\WINDOWS\System32\hhitl.exe 
C:\WINDOWS\System32\uuyvu.exe 
C:\WINDOWS\System32\rpcc.exe 
C:\WINDOWS\Temp\startdrv.exe 
C:\WINDOWS\System32\lanmanwrk.exe 
C:\Windows\xpupdate.exe 
C:\WINDOWS\System32\vbsys2.dll

Retourne sur Pocket KillBox 

Fait ==> Menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). 

vérifi dans le menu déroulant que le fichier est bien présent. 
- coche la case "Unregister dll before deleting" (si tu en as la possibilité) 
- clique sur le bouton "All files" 
- clique ensuite sur la croix rouge 
- Tu réponds par "YES" au 2 messages qui vont suivre. 
- L'ordinateur doit redémarrer, 
- (Fais le toi-même, s'il ne redemarre pas ) 

Ensuite essaye de faire un scanne en ligne :

colle le rapport d'un scan en ligne 
avec un des suivants: 

bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Bon courrage et @+

gtlagaffe · Answer

Salut Poussin59, désolé pour le retard
Je fais le point sur les différentes demandes de ton dernier message

Kerio encore présent dans Pan Config/Instal,Désinstall,
Désintallation de Kerio Succefully Done et
Effacement du répertoire Sunbelt ainsi que répertoires filles.
(Pour info j'ai fait copie des deux fichiers logs qui s'y trouvaient)


Recherche ipsurpte: Menu démarrer->recherche n'a rien trouvé

Voici le scan  AVG antispyware (effectué en mode normal)
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	8:02:43 25/07/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032879.sys -> Downloader.Agent.acl : Aucune action entreprise.
C:\WINDOWS\system32\drivers\secdrv.sys -> Downloader.Agent.acl : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032875.exe -> Downloader.Agent.bfw : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032876.exe -> Downloader.Agent.bfw : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032874.exe -> Downloader.Alphabet : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032877.exe -> Downloader.Alphabet.b : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032878.exe -> Downloader.Alphabet.b : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032872.EXE -> Downloader.Small.bta : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032873.dll -> Downloader.Small.bta : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032882.exe -> Logger.Agent.od : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032883.exe -> Not-A-Virus.Hoax.Win32.Renos.hr : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032884.sys -> Not-A-Virus.Hoax.Win32.Renos.hr : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032881.sys -> Rootkit.Agent.gk : Aucune action entreprise.
C:\System Volume Information\_restore{EA6F46CB-500C-4055-A0E3-EADCA77B5DBB}\RP90\A0032880.sys -> Rootkit.NtRootKit : Aucune action entreprise.


Fin du rapport

Je m'aperçois que je n'ai pas mis en quarantaine.
Est-ce important au stade actuel ? (Si oui je refais le scan AVG)

    Nouveau Point de restauration avant lancement de Killbox

   Pocket Killbox: téléchargé sur bureau , activation de "Delete on reboot", copie des .exe et .dll que tu m'as indiqués puis "paste on clipboard", le menu déroulant m'a indiqué à ensuite"C:\Windows\Temp\startdrv.exe"
   En effet "Unregister dll before deleting" non optionnable (grisé)
   Ensuite "All files",Croix rouge,Yes,Yes, et Reboot automatique.

J'en suis ici dans ta dernière procédure,
Je dois encore effectuer scan en ligne et t'expédier rapport.

Merci et bonne journée.

poussin59 · Answer

Salut,

Tout ce qu'a trouver AVG sont des point de restauration infecter.

On va les supprimer et tu revera un scan AVG apres en prenant soins de supprimer en fin de scan :

On supprime les points de restauration :

Pour que la désinfection soit efficace, il est preferable d'effacer tous les points de restauration. 

Dans le menu démarrer clique du bouton droit sur l'icone Poste de travail 
Dans le menu qui se deroule, clique sur Propriétés 
Clique sur l'onglet Restauration du système 
Coche la case Désactiver la restauration du systeme sur tous les lecteurs 
Clique sur Appliquer et repond OUI a la prochaine fenettre 
Attent une trentaine de second puis 
Decoche la case Désactiver la restauration du systeme sur tous les lecteurs 
Clique sur Appliquer et OK <=== cette fonction te fait enregistre un point de restauration pour chacun de tes disques.

Voila, refait un scan

et poste le rapport.

@+

gtlagaffe · Answer

Bonsoir,
Donc tout mes points de restauration sont infectés.
J'ai donc suivi la procédure effacement de tous ces points,
Ensuite lancement de AVG Antispyware avec option effacement,
Voici le dernier rapport AVG 
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	19:33:00 25/07/2007

 + Résultat de l'analyse:	



C:\WINDOWS\system32\drivers\secdrv.sys -> Downloader.Agent.acl : Nettoyé.


Fin du rapport
A plus.

poussin59 · Answer

Salut, 

Bonne journee ?

Ton system doit etre propre, dans ton dernier Log Hijackthis, je n'ai rien vue, sauf erreur de ma part biensur.

Tu n'a pas fait le scanne en ligne que je t'es demander :

Pour moi, system propre, donc ton probleme est regler...

Un petit conseil, 
Pense a mettre un anti-virus ( moi perso, j'ai avast et je le trouve tres bien.)
Essaye un autre firewall , celui la par EX : Jetico Personal Firewall : https://www.jetico.com/
Pense a mettre a jour Internet explorer, pour le SP2, c'est plus une question de choix.

Content de t'avoir aider et n'oubli pas SVP de cloturer le sujets

Bonne continuation et bon Surf......

@+

gtlagaffe · Answer

J'aurais été bien incapable de déceler que c'est un virus qui à finalement bloqué mon PC lors de l'installation d'un programme.
Heureusement, sur www.commentcamarche.net on trouve toujours quelqu'un pour répondre à nos questions. 
Si tu es comme moi un grand innocent en ce qui concerne virus, trojan, wareout, permet-moi de te laisser ces quelques conseils: 
Prends le temps de lire la page HijackThis pour déjà te familiariser avec sa procédure et pourquoi pas download les différents programmes et cales-les dans un répertoire de secours. Celui-ci ne devrait pas être logé trop loin dans l'arborescance de ton PC
https://www.commentcamarche.net/faq/266-analyser-interpreter-un-log-hijackthis-et-agir-en-consequence
Petit conseil: Quand quelqu'un vient à ton aide, il a directement plein de choses à te dire.... Imprime son message, ainsi tu peux facilement suivre sa procédure et vérifier que tu as toutes les données pour donner suite à sa demande. Télécharge déjà et lance le HijackThis pour déjà voir comment il tourne et ou trouver son rapport (indispensable pour lancer un appel à l'aide).  Mais attention ne fixe (efface) rien sans l'avis d'un gars du site CCM.

Encore tout mes remerciements à Poussin59 qui m'a vraiment...si,si vraiment  bien aidé pour sortir de mon plantage
@+