Erreurs installations - infection suspectée
Résolu/Fermé
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
-
4 oct. 2011 à 09:20
jacarchi94 Messages postés 82 Date d'inscription vendredi 13 mai 2011 Statut Membre Dernière intervention 9 avril 2015 - 17 oct. 2011 à 09:35
jacarchi94 Messages postés 82 Date d'inscription vendredi 13 mai 2011 Statut Membre Dernière intervention 9 avril 2015 - 17 oct. 2011 à 09:35
A voir également:
- Erreurs installations - infection suspectée
- Redémarrer pour réparer les erreurs de lecteur ✓ - Forum Windows 10
- Sfr compte bloqué 5 erreurs ✓ - Forum Mail
- Le programme à télécharger ci-dessous contient des erreurs et n'est pas complet. corrigez-le et exécutez-le. quel mot de dix lettres est obtenu ? ✓ - Forum TV & Vidéo
- Boite mail sfr bloqué apres 5 mots de passe erreur - Forum Mail
- Url blacklist infection - Forum Virus
27 réponses
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
Modifié par cabrier le 4/10/2011 à 09:39
Modifié par cabrier le 4/10/2011 à 09:39
Tu dois pouvoir réparer ton système par la commande (en mode commande)
sfc /scannow
car rien de particulier dans ton HJT
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
sfc /scannow
car rien de particulier dans ton HJT
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
4 oct. 2011 à 14:26
4 oct. 2011 à 14:26
Merci clarisse13 et cabrier,
Pour le moment malwaerbytes tourne depuis 5h (c'est un vieux PC lent mais avec beaucoup de disques. Il a déjà trouvé 4 éléments infectés.
Je l'avais déjà exécuté hier il avait trouvé et mis en quarantaine plusieurs nuisibles. Voilà le log d'hier:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 7848
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
02/10/2011 23:44:30
mbam-log-2011-10-02 (23-44-30).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 448456
Temps écoulé: 53 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\easyphp-5.3.2\apache\bin\ab.exe (Trojan.Swrort) -> Quarantined and deleted successfully.
d:\softs\Nero\incd337up.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero\nero55917.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero\NeroMix.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\PowerFTP\ico\goup.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Je posterais celui d'aujourd'hui dès que le scan sera terminé. Je suis étonné qu'il trouve encore des éléments infectés, celà me semble être le signe qu'un nuisible n'a pas été éliminé et est toujours à l'oeuvre.
En ce qui concerne sfc /scannow , j'ai aussi essayé cela hier. J'ai obtenu une erreur indiquant qu'uj fichier dans le DLL cache était corrompu. J'ai alors vidé ce cache (sfc /purgecache)), je me demande maintenant si c'était une bonne idée!
Scannow m'a alors demandé d'insérer le cd de xp professional, j'ai hésité vu que sur ce PC c'est xp family OEM qui est installé. Ceci étant je viens de voir un article de Microsoft qui permet de contourner le pb:
https://support.microsoft.com/en-us/help/897128/
Je pensais essayer dès que le scan sera fini, mais j'ai lu ici (https://leblogdeclaude.blogspot.com/2007/07/faire-un-scan-sfc-scannow.html que comme le CD d'origine correspond à une version antérieure à SP3 (SP2 pour le mien, on risque des problèmes, donc je suis perplexe.
Merci de vos conseils.
Pour le moment malwaerbytes tourne depuis 5h (c'est un vieux PC lent mais avec beaucoup de disques. Il a déjà trouvé 4 éléments infectés.
Je l'avais déjà exécuté hier il avait trouvé et mis en quarantaine plusieurs nuisibles. Voilà le log d'hier:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 7848
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
02/10/2011 23:44:30
mbam-log-2011-10-02 (23-44-30).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 448456
Temps écoulé: 53 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\easyphp-5.3.2\apache\bin\ab.exe (Trojan.Swrort) -> Quarantined and deleted successfully.
d:\softs\Nero\incd337up.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero\nero55917.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\Nero\NeroMix.exe (Trojan.Perflog) -> Quarantined and deleted successfully.
d:\softs\PowerFTP\ico\goup.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Je posterais celui d'aujourd'hui dès que le scan sera terminé. Je suis étonné qu'il trouve encore des éléments infectés, celà me semble être le signe qu'un nuisible n'a pas été éliminé et est toujours à l'oeuvre.
En ce qui concerne sfc /scannow , j'ai aussi essayé cela hier. J'ai obtenu une erreur indiquant qu'uj fichier dans le DLL cache était corrompu. J'ai alors vidé ce cache (sfc /purgecache)), je me demande maintenant si c'était une bonne idée!
Scannow m'a alors demandé d'insérer le cd de xp professional, j'ai hésité vu que sur ce PC c'est xp family OEM qui est installé. Ceci étant je viens de voir un article de Microsoft qui permet de contourner le pb:
https://support.microsoft.com/en-us/help/897128/
Je pensais essayer dès que le scan sera fini, mais j'ai lu ici (https://leblogdeclaude.blogspot.com/2007/07/faire-un-scan-sfc-scannow.html que comme le CD d'origine correspond à une version antérieure à SP3 (SP2 pour le mien, on risque des problèmes, donc je suis perplexe.
Merci de vos conseils.
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
4 oct. 2011 à 19:41
4 oct. 2011 à 19:41
Bonsoir jacarchi94.
Effectivement MBAM a détecté mais pas nettoyé.
On va analyser ta machine mais d'abord :
Dépôt de fichiers:
* Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
cijoint ou pjjoint
* Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
* Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
sera ajouté dans la page.
* C'est ce lien que tu auras à me transmettre et uniquement cela.
--------------------------
Analyse :
*Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
/!\Il est très important de l'enregistrer sur le bureau / !\
*Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
* N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
* Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
* Clique alors sur la loupe pour « lancer le diagnostic ».
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long.
* Ferme ZHPDiag en fin d'analyse.
* Cherche le dossier où est installé ZHPDiag (en général C:\ZHP\).
* Transmet moi le fichier comme indiqué en préambule "Dépôt de fichier"
A+
Effectivement MBAM a détecté mais pas nettoyé.
On va analyser ta machine mais d'abord :
Dépôt de fichiers:
* Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
cijoint ou pjjoint
* Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
* Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
sera ajouté dans la page.
* C'est ce lien que tu auras à me transmettre et uniquement cela.
--------------------------
Analyse :
*Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
/!\Il est très important de l'enregistrer sur le bureau / !\
*Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
* N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clicue droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
* Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
* Clique alors sur la loupe pour « lancer le diagnostic ».
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long.
* Ferme ZHPDiag en fin d'analyse.
* Cherche le dossier où est installé ZHPDiag (en général C:\ZHP\).
* Transmet moi le fichier comme indiqué en préambule "Dépôt de fichier"
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
4 oct. 2011 à 20:20
4 oct. 2011 à 20:20
Merci Cabrier 4.
Je fais cela dès que le scan de malwarebytes que j'ai lancé ce matin se termine. Il tourne toujours après 10h, il ne lui reste plus qu'un disque à scanner.
Mon antivirus est MacAfee, et hier il a détecté un élément infecté : TollNirCmd et a corrigé.
A+
Je fais cela dès que le scan de malwarebytes que j'ai lancé ce matin se termine. Il tourne toujours après 10h, il ne lui reste plus qu'un disque à scanner.
Mon antivirus est MacAfee, et hier il a détecté un élément infecté : TollNirCmd et a corrigé.
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
4 oct. 2011 à 20:38
4 oct. 2011 à 20:38
OK, pas de problème.
Pourquoi avoir relancé MBAM ?
As-tu un émulateur de CD de lancé type Daemon tools ?
Quand tu veux !
A+
Pourquoi avoir relancé MBAM ?
As-tu un émulateur de CD de lancé type Daemon tools ?
Quand tu veux !
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
4 oct. 2011 à 20:41
4 oct. 2011 à 20:41
NirCmd est un outil installé par Combofix ! As tu utilisé ce programme ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
4 oct. 2011 à 22:28
4 oct. 2011 à 22:28
Bonsoir cabrier
J'ai relancé mbam suite à la suggestion de clarisse13 et parceque apparament ce sue j'avais fait seul ne mavait pas débarassé du problème, donc j'ai décidé de suivre les conseils que l'on pourra m'apporter. Il tourne depuis 13h sans avoir encore terminé et a détecté 7 éléments infectés. Donc à demai pour la suite.
En essayant seul de me débarrasser du problème j'ai effectivement lancé combofix. Un scan seulement pas d'action de correction. Le rapport est ici:
http://www.cijoint.fr/cjlink.php?file=cj201110/cij315SDxK.txt
Je n'ai pas lancé consciemment un émulateur de cd mais il est possible que cela fasse partie du package Western Digital WD SmartWare que j'ai installé pour surveiller mon dd externe
A+
J'ai relancé mbam suite à la suggestion de clarisse13 et parceque apparament ce sue j'avais fait seul ne mavait pas débarassé du problème, donc j'ai décidé de suivre les conseils que l'on pourra m'apporter. Il tourne depuis 13h sans avoir encore terminé et a détecté 7 éléments infectés. Donc à demai pour la suite.
En essayant seul de me débarrasser du problème j'ai effectivement lancé combofix. Un scan seulement pas d'action de correction. Le rapport est ici:
http://www.cijoint.fr/cjlink.php?file=cj201110/cij315SDxK.txt
Je n'ai pas lancé consciemment un émulateur de cd mais il est possible que cela fasse partie du package Western Digital WD SmartWare que j'ai installé pour surveiller mon dd externe
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
4 oct. 2011 à 22:34
4 oct. 2011 à 22:34
OK, bonsoir à toi !
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
5 oct. 2011 à 09:42
5 oct. 2011 à 09:42
Bonjour cabrier,
Je n'aurais pas le nouveau rapport de MBAM, mon PC a planté sur un écran bleu cette nuit, et a d'ailleurs recommencé ce matin.
Je lance zhpdiag et je croise les doigts.
A+
Je n'aurais pas le nouveau rapport de MBAM, mon PC a planté sur un écran bleu cette nuit, et a d'ailleurs recommencé ce matin.
Je lance zhpdiag et je croise les doigts.
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
Modifié par jacarchi94 le 5/10/2011 à 10:12
Modifié par jacarchi94 le 5/10/2011 à 10:12
Re bonjour cabrier.
Le rapport zhpdiag.txt est ici http://www.cijoint.fr/cjlink.php?file=cj201110/cijK4aWBc4.txt
zhpscan.txt est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cij0g1bCbr.txt
merci d'avance.
A+
Le rapport zhpdiag.txt est ici http://www.cijoint.fr/cjlink.php?file=cj201110/cijK4aWBc4.txt
zhpscan.txt est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cij0g1bCbr.txt
merci d'avance.
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 12:02
5 oct. 2011 à 12:02
OK, j'examinerai cela tout à l'heure et te tiendrai au courant !
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 12:56
5 oct. 2011 à 12:56
jacarchi,
Dépôt de fichiers:
* Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
cijoint ou pjjoint
* Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
* Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
sera ajouté dans la page.
* C'est ce lien que tu auras à me transmettre et uniquement cela.
---------------------------------
maintenant :
* Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
*Lance le,
*Clique sur [<gras>Suppression]</gras> puis patiente le temps du scan.
*Quand il a fini, un rapport s'ouvrira : ferme le.
*Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt]
* Transmet moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint
Note :
A+
Dépôt de fichiers:
* Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
cijoint ou pjjoint
* Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
* Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
sera ajouté dans la page.
* C'est ce lien que tu auras à me transmettre et uniquement cela.
---------------------------------
maintenant :
* Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
*Lance le,
*Clique sur [<gras>Suppression]</gras> puis patiente le temps du scan.
*Quand il a fini, un rapport s'ouvrira : ferme le.
*Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt]
* Transmet moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint
Note :
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
5 oct. 2011 à 13:18
5 oct. 2011 à 13:18
Merci cabrier,
Le rapport d'AdwCleaner est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijL8KvNwq.txt
A+
Le rapport d'AdwCleaner est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijL8KvNwq.txt
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 14:15
5 oct. 2011 à 14:15
Re,
* Télécharge USBFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore-le et désactive le temporairement.
http://www.teamxscript.org/usbfixTelechargement.html
* Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
* Cherche le fichier C:\Ad-Remover.txt
* Transmet moi le fichier comme indiqué en préambule "Dépôt de fichier"
ATTENTION : Ceci ne fait qu'effectuer une recherche de malwares, l'éradication se fera après si nécessaire.
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Tutoriel "Recherche"
Aide en images : http://www.teamxscript.org/usbfixScan.html
* Télécharge USBFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore-le et désactive le temporairement.
http://www.teamxscript.org/usbfixTelechargement.html
* Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
* Cherche le fichier C:\Ad-Remover.txt
* Transmet moi le fichier comme indiqué en préambule "Dépôt de fichier"
ATTENTION : Ceci ne fait qu'effectuer une recherche de malwares, l'éradication se fera après si nécessaire.
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Tutoriel "Recherche"
Aide en images : http://www.teamxscript.org/usbfixScan.html
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 14:56
5 oct. 2011 à 14:56
Tu pourra aussi essayer de faire ceci :
Scandisk :
= démarrer
= poste de travail
= clic droit sur ton disque dur (en général C:) ==> propriétés
= onglet outils
= vérifier maintenant ==> tu coches les 2 cases ==> démarrer
Scandisk :
= démarrer
= poste de travail
= clic droit sur ton disque dur (en général C:) ==> propriétés
= onglet outils
= vérifier maintenant ==> tu coches les 2 cases ==> démarrer
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 15:08
5 oct. 2011 à 15:08
L'analyse ZHPDiag ne montre rien !
Essaye aussi ceci pour voir si tu obtiens le panneau "Ajout suppression de programmes"
Démarrer
Executer
et la tape :
appwiz.cpl
si le panneau s'ouvre c'est le fichier shell32.dll qui est HS et a remplacer par un de la même version de win, sinon c'est appwiz.cpl qui est HS.
A+
Essaye aussi ceci pour voir si tu obtiens le panneau "Ajout suppression de programmes"
Démarrer
Executer
et la tape :
appwiz.cpl
si le panneau s'ouvre c'est le fichier shell32.dll qui est HS et a remplacer par un de la même version de win, sinon c'est appwiz.cpl qui est HS.
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
5 oct. 2011 à 15:55
5 oct. 2011 à 15:55
cabrier,
Le rapport de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijLSL0vbK.txt
Je n'ai pas le fichier C:\Ad-Remover.txt que tu demandes.
En ce qui concerne le disque je vois des erreurs dans l'observateur d'évènements système:
Avertissement source:Disk id evèn. 51
Une erreur a été détectée sur le périphérique \Device\Harddisk2\D au cours d'une opération de pagination.
C'est sur ce disque que j'ai mis le fichier de pagination de Windows. Je vais donc faire le scandisk que tu me conseilles sur C: et sur ce disque E:. Je te teins au courant
En ce qui concerne appwiz.cpl, j'avais déjà tenté la manip, le symptôme que je constate en ouvrant le panneau de "Ajout suppression de programmes" , il s'ouvre, met très très longtemps à afficher la liste des programmes (il faut dire que la mule est bien chargée !) et plante au moment où je clique sur un programme. Le symptôme est le même que je lance par le panneau de config ou à la main par appwiz.cpl.
Je vais essayer de nouveau après le scan des disques, je te tiens au courant.
A+
Le rapport de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijLSL0vbK.txt
Je n'ai pas le fichier C:\Ad-Remover.txt que tu demandes.
En ce qui concerne le disque je vois des erreurs dans l'observateur d'évènements système:
Avertissement source:Disk id evèn. 51
Une erreur a été détectée sur le périphérique \Device\Harddisk2\D au cours d'une opération de pagination.
C'est sur ce disque que j'ai mis le fichier de pagination de Windows. Je vais donc faire le scandisk que tu me conseilles sur C: et sur ce disque E:. Je te teins au courant
En ce qui concerne appwiz.cpl, j'avais déjà tenté la manip, le symptôme que je constate en ouvrant le panneau de "Ajout suppression de programmes" , il s'ouvre, met très très longtemps à afficher la liste des programmes (il faut dire que la mule est bien chargée !) et plante au moment où je clique sur un programme. Le symptôme est le même que je lance par le panneau de config ou à la main par appwiz.cpl.
Je vais essayer de nouveau après le scan des disques, je te tiens au courant.
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
5 oct. 2011 à 16:03
5 oct. 2011 à 16:03
Passe USBFix en mode [Suppression] il t'a trouvé quelque chose !
Puis repasse le en mode Vaccination
Mais je soupçonne fortement une erreur disque.
Puis repasse le en mode Vaccination
Mais je soupçonne fortement une erreur disque.
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
5 oct. 2011 à 23:17
5 oct. 2011 à 23:17
Bonsoir cabrier,
Les résultats des chkdsk enregistrées dans l'observateur d'évènements sont ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijQ3mJg2m.txt.
Que je lance par le panneau de contrôle, par appwiz.cpl ou par control appwiz.cpl , la fenêtre d'ajout/suppression s'ouvre et soit au bout d'un moment sans rein faire soit après avoir cliqué pour sélectionner une application ça plante.
L'erreur enregistrée dans l'observateur d'évènement est: application error id 1000:
Application défaillante rundll32.exe, version 5.1.2600.5512, module défaillant appwiz.cpl, version 5.1.2600.5512, adresse de défaillance 0x000270d1.
Apparemment l'adresse est toujours la même.
Je vais lancer usbfix en mode [Suppression] de suite. Je te tiens au courant
Merci de tes tuyaux.
A+
Les résultats des chkdsk enregistrées dans l'observateur d'évènements sont ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijQ3mJg2m.txt.
Que je lance par le panneau de contrôle, par appwiz.cpl ou par control appwiz.cpl , la fenêtre d'ajout/suppression s'ouvre et soit au bout d'un moment sans rein faire soit après avoir cliqué pour sélectionner une application ça plante.
L'erreur enregistrée dans l'observateur d'évènement est: application error id 1000:
Application défaillante rundll32.exe, version 5.1.2600.5512, module défaillant appwiz.cpl, version 5.1.2600.5512, adresse de défaillance 0x000270d1.
Apparemment l'adresse est toujours la même.
Je vais lancer usbfix en mode [Suppression] de suite. Je te tiens au courant
Merci de tes tuyaux.
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
5 oct. 2011 à 23:48
5 oct. 2011 à 23:48
cabrier,
le résultat du mode suppression de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijZCBuMTh.txt
Bonne soirée.
A+
le résultat du mode suppression de usbfix est ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijZCBuMTh.txt
Bonne soirée.
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
6 oct. 2011 à 00:32
6 oct. 2011 à 00:32
cabrier,
J'ai identifié une anomalie sur mon PC dont je me demande si elle n'a pas un rapport avec le problème d'ajout/suppression de programme
Comme signalé dans mon premier message tout a commencé par une erreur d'installation d'Adobe reader 10, une erreur est survenue pendant l'installation (archive corrompue)
Adobe reader ne figure pas dans les programmes listés par ajout/suppression (ni dans la fonction de désinstallation de programmes de CCleaner qui elle ne plante pas). Il ,y a toutefois "Japanese Fonts Support For Adobe Reader X" dans le liste de programmes de CCleaner, je ne sais pas pour celle de l'ajout/suppression de Windows, ça plante avant que j'arrive à voir..
Par contre il y a une entrée dans le menu démarrer sans l'icône Adobe et quand je clique dessus j'ai l'erreur: "cette action n'est valide que pour les produits actuellement installés". Si je double clique sur un fichier pdf ... il s'ouvre aver Adobe Reader 10 et il y a bien un répertoire Reader 10.0 sous Adobe dans Program Files avec un AcroRd32.exe qui se lance si je double clique dessus.
Donc Adobe Reader est "a moitié" installé sans possibilité de le désinstaller.
J'ai même l'impression qu'il est "a moitié" installé 2 fois dans Program Files certains fichiers ou répertoires sont doublés avec u suffixe(2)
Cela ferait-il planter ajout/suppression?
A+
J'ai identifié une anomalie sur mon PC dont je me demande si elle n'a pas un rapport avec le problème d'ajout/suppression de programme
Comme signalé dans mon premier message tout a commencé par une erreur d'installation d'Adobe reader 10, une erreur est survenue pendant l'installation (archive corrompue)
Adobe reader ne figure pas dans les programmes listés par ajout/suppression (ni dans la fonction de désinstallation de programmes de CCleaner qui elle ne plante pas). Il ,y a toutefois "Japanese Fonts Support For Adobe Reader X" dans le liste de programmes de CCleaner, je ne sais pas pour celle de l'ajout/suppression de Windows, ça plante avant que j'arrive à voir..
Par contre il y a une entrée dans le menu démarrer sans l'icône Adobe et quand je clique dessus j'ai l'erreur: "cette action n'est valide que pour les produits actuellement installés". Si je double clique sur un fichier pdf ... il s'ouvre aver Adobe Reader 10 et il y a bien un répertoire Reader 10.0 sous Adobe dans Program Files avec un AcroRd32.exe qui se lance si je double clique dessus.
Donc Adobe Reader est "a moitié" installé sans possibilité de le désinstaller.
J'ai même l'impression qu'il est "a moitié" installé 2 fois dans Program Files certains fichiers ou répertoires sont doublés avec u suffixe(2)
Cela ferait-il planter ajout/suppression?
A+
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
6 oct. 2011 à 06:56
6 oct. 2011 à 06:56
Les résultats des chkdsk enregistrées dans l'observateur d'évènements sont ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijQ3mJg2m.txt.
Ton fichier est inaccessible ! (mauvaise copie du lien ?)
As-tu vérifié si tu n'avais pas une sauvegarde sytème juste avant l'install de Adobe Reader. Si oui fais la restauration, nous verrons ensuite !
A+
Ton fichier est inaccessible ! (mauvaise copie du lien ?)
As-tu vérifié si tu n'avais pas une sauvegarde sytème juste avant l'install de Adobe Reader. Si oui fais la restauration, nous verrons ensuite !
A+
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
6 oct. 2011 à 09:33
6 oct. 2011 à 09:33
Bonjour cabrier,
Nouvel essai pour la transmission des résultats du chkdsk ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijvxFqDaI.txt.Ce nouveau lien marche pour moi.
En ce qui concerne une éventuelle restauration, avant les tentatives d'installation d'Adobe Reader, j'avais fait des tentatives d'application des mises à jour automatiques qui échouaient en indiquant qu'une dll avait été modifiée, raison pour laquelle j'ai essayé de supprimer et réinstaller Adobe Reader et raison pour laquelle j'ai suspecté une infection.
Mon point de restauration le plus ancien date du 2 octobre et est intitulé Software Distribution Service 3.0 donc probablement créé lors d'une mise à jour de Microsoft.
Si je restaure à cette date, je suppose qu'il va falloir refaire toutes les manips que nous venons de faire. Exact?
Nouvel essai pour la transmission des résultats du chkdsk ici: http://www.cijoint.fr/cjlink.php?file=cj201110/cijvxFqDaI.txt.Ce nouveau lien marche pour moi.
En ce qui concerne une éventuelle restauration, avant les tentatives d'installation d'Adobe Reader, j'avais fait des tentatives d'application des mises à jour automatiques qui échouaient en indiquant qu'une dll avait été modifiée, raison pour laquelle j'ai essayé de supprimer et réinstaller Adobe Reader et raison pour laquelle j'ai suspecté une infection.
Mon point de restauration le plus ancien date du 2 octobre et est intitulé Software Distribution Service 3.0 donc probablement créé lors d'une mise à jour de Microsoft.
Si je restaure à cette date, je suppose qu'il va falloir refaire toutes les manips que nous venons de faire. Exact?
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
Modifié par cabrier le 6/10/2011 à 13:15
Modifié par cabrier le 6/10/2011 à 13:15
Alors c'est parfait !
Je pense que le point de restauration a été fait juste avant l'install de Software Distribution Service. Ce programme f...t le b...l sur ton PC (a éviter!)
Si tu peux faire une restauration juste avant ce sera parfait.
Sinon oui, ce que nous avons fait risque d'être en partie perdu mais ce n'est pas grave on ira maintenant au + direct !
Essaie le.
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
Au fait ton lien chkdsk ne fonctionne toujours pas.
Je pense que le point de restauration a été fait juste avant l'install de Software Distribution Service. Ce programme f...t le b...l sur ton PC (a éviter!)
Si tu peux faire une restauration juste avant ce sera parfait.
Sinon oui, ce que nous avons fait risque d'être en partie perdu mais ce n'est pas grave on ira maintenant au + direct !
Essaie le.
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
Au fait ton lien chkdsk ne fonctionne toujours pas.
jacarchi94
Messages postés
82
Date d'inscription
vendredi 13 mai 2011
Statut
Membre
Dernière intervention
9 avril 2015
6 oct. 2011 à 15:19
6 oct. 2011 à 15:19
cabrier,
C'est malheureusement le point de restauration le plus ancien sur mon PC. Comme je n'avais plus assez de place pour défragmenter et que tout allait bien j'avais fait le ménage des points de restauration :-(
J'ai lu que à,partir du moment où Software Distribution Service toute install de Crosoft peut produire un point de restauration sous ce nom. Je crains que SDS soit là depuis plus longtemps.
A la date du 2/10, je vois les fichiers KB2562937.log, KB2566454.log, KB2559049-IE8.log, KB2570947.log, KB2570222.log, KB2616676-v2.log, KB2536276-v2.log qui tous contiennent plusieurs lignes d'erreur du genre:
6.032: Le programme d'installation du KB2536276-v2 a rencontré une erreur : Le fichier update.ver n'est pas valide.
Le lien vers mon fichier marche ... presque. Comme je n'ai pas mis d'espace il a inclus ".Ce" à la fin du lien. Si on supprime ces trois caractères dans la barre d'adresse du navigateur ça fonctionne. Désolé.
Il faut que je m'absente un moment.
Sauf avis contraire de ta part, je me propose tout à l'heure de prendre un point de restauration de la situation actuelle puis de tenter la restauration.
Merci pour tout.
C'est malheureusement le point de restauration le plus ancien sur mon PC. Comme je n'avais plus assez de place pour défragmenter et que tout allait bien j'avais fait le ménage des points de restauration :-(
J'ai lu que à,partir du moment où Software Distribution Service toute install de Crosoft peut produire un point de restauration sous ce nom. Je crains que SDS soit là depuis plus longtemps.
A la date du 2/10, je vois les fichiers KB2562937.log, KB2566454.log, KB2559049-IE8.log, KB2570947.log, KB2570222.log, KB2616676-v2.log, KB2536276-v2.log qui tous contiennent plusieurs lignes d'erreur du genre:
6.032: Le programme d'installation du KB2536276-v2 a rencontré une erreur : Le fichier update.ver n'est pas valide.
Le lien vers mon fichier marche ... presque. Comme je n'ai pas mis d'espace il a inclus ".Ce" à la fin du lien. Si on supprime ces trois caractères dans la barre d'adresse du navigateur ça fonctionne. Désolé.
Il faut que je m'absente un moment.
Sauf avis contraire de ta part, je me propose tout à l'heure de prendre un point de restauration de la situation actuelle puis de tenter la restauration.
Merci pour tout.
