Bonjour,

J'ai un gros problème depuis maintenant 5 jours : IE a disparu.

Je navigais sur Google, j'ai cliqué sur l'adresse d'un site (celui apparemment inoffensif d'une chanteuse québécoise) et immédiatement, mon antivirus a été désactivé. J'ai fait une MAJ puis éteint mon ordi. Au redémarrage, 2 fichiers inconnus s'étaient installés sur mon bureau : cooltoolbar.dll et un fichier DAT nommé cooltoolbar. De plus, la ligne Désactiver de mon antivirus est grisée et j'ai un message au redémarrage : " Erreur de chargement de /3/LXBStime.dll. Le module spécifié est introuvable".

J'ouvre IE : il s'ouvre sur une page inconnue en anglais. Je le ferme, l'ouvre à nouveau : impossible, IE ne répond plus. Impossible de lancer Panda Active Scan.

J'ai mis les 2 fichiers en quarantaine, passé un coup de Adaware-Se et lancé une analyse de mon antivirus qui me supprime 2 chevaux de Troie.

J'appelle le soutien technique de mon fournisseur d'accès qui me conseille d'installer Mozilla. Fait.

Je suis d'abord allée sur un autre site (au hasard) qui m'a fait faire ceci :

1) un rapport HijackThis (je ne peux pas le retranscrire, Mozilla refuse les copier/coller) au terme duquel on m' a dit de cocher les lignes + fix checked :

03-Toolbar : 777 search - (BA5D8DF9-1851-4660-B3AE-89E6-E030AC34) C:/Windows/cooltoolbar.dll

021-SSODL : IEFilter - (4AA2BB24-CA6C-436C-B763-BE77D999CF33) C:/Windows/System32/IEFilter.dll (file missing)

2) J'ai téléchargé IEFix.reg. Mais IE a toujours refusé de s'ouvrir : "L'élément IExplore.exe auquel ce raccourci renvoie a été déplacé ou modifié. Ce raccourci ne fonctionne plus. L'élément le plus proche en fonction de la taille, de la date et du type est : C/Programm files/IE/Connection/icwconn1.exe. Voulez-vous réparer le raccourci pour le faire pointer vers sa cible ou le supprimer ? "

3) Tentative de reconfiguration manuelle. En fait, l'icône IE avait disparue, ne restait que celle de l'Assistant Installation. La tentative a systématiquement échoué.

4) On m'a dit ensuite de télécharger AVG antispyware. Du coup, après redémarrage, non seulement j'avais toujours le message apparu après le problème, mais aussi un second : "Cette application n'a pas pu démarrer car sf_os.dll est introuvable. La réinstallation de cette application peut corriger le problème. "

5) Ensuite, on m'a dit de télécharger DiagHelp.zip et de supprimer :

C:/Windows/system32/23191

C:/Windows/system32/trj6_2.tmp

C:/Windows/system32/ACE2C5CE

C:/windows/system32/3E0C15E3

C:/windows/system32/22538

C:/Windows/system32/trj6.tmp

5) Puis, Hijackthis à nouveau : fix checked 04-HKLM /./Run : [LXBSCATS]rundll32_RunDLLEntry@16

ce qui a supprimé le 1er message au démarrage

6) On m'a ensuite dit de télécharger SilentRunners. Nettoyer et corriger les erreurs. Et voilà. Depuis, silence total.

Conclusion :

- Je n'ai toujours pas récupéré IE et surtout, je ne sais pas pourquoi ni comment il a pu disparaître

- La ligne Désactivation de mon antivirus est toujours grisée

- J'ai toujours le message " Cette application n'a pas pu démarrer car sf_os.dll est introuvable"

- Je ne sais pas si mon PC est nettoyé ou s'il est encore infecté.

Si quelqu'un pouvait m'aider : je suis complètement perdue, d'autant plus que je n'y connais rien, suis absolument nulle en informatique.

Merci mille fois à celui ou celle qui acceptera de se pencher sur le problème

hanouni, bonsoir et bienvenue sur PCA!

Essaie de passer AVG AntiSpyware en Mode sans échec.

Si tu ne sais pas comment faire, dans ma signature, clique sur Comment faire pour... à la lettre C

Pour poster ton rapport HijackThis ( un nouveau après le passage de AVG, si tu réussis):

Sélectionner tout: touches CTRL + A

Copier: touches CTRL + C

Coller: CTRL + V

Bonne chance!

Bonjour France Q,

Merci d'avoir répondu. Je vais faire ce que tu me dis. Désolée d'avoir tardé à répondre mais j'ai 6h00 de décalage horaire avec vous

hanouni a écrit :

Bonjour France Q,

Merci d'avoir répondu. Je vais faire ce que tu me dis. Désolée d'avoir tardé à répondre mais j'ai 6h00 de décalage horaire avec vous

Pas avec moi!

C'est bien ce qui me semblait !

Je viens de commencer le mode sans échec, mais j'ai suspendu la manip : j'ai remarqué que dans BOOT.INI, là ou je dois cocher SAFEBOOT, la case BOOTLOG est cochée. Dois-je la décocher avant ?

re

Prends la méthode avec F8 au démarrage.

Voici le rapport AVG. Je n'ai pas encore fait HijackThis : je l'avais téléchargé mais il a disparu. Je vais l'installer à nouveau

--------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 14:13:51 2006-12-07

+ Résultat de l'analyse:



:mozilla.16:C:\Documents and Settings\Afaf\Application Data\Mozilla\Firefox\Profiles\6uwi3pic.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.17:C:\Documents and Settings\Afaf\Application Data\Mozilla\Firefox\Profiles\6uwi3pic.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.18:C:\Documents and Settings\Afaf\Application Data\Mozilla\Firefox\Profiles\6uwi3pic.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.19:C:\Documents and Settings\Afaf\Application Data\Mozilla\Firefox\Profiles\6uwi3pic.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.


Fin du rapport

Ok, le voici :

Logfile of HijackThis v1.99.1
Scan saved at 14:37:33, on 2006-12-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lexmark\Lexmark Precision Photo\MemCard.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Afaf\LOCALS~1\Temp\Rar$EX00.801\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 777-search.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 777-search.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Precision Photo\MemCard.exe -startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0957f3ed6029159d0e03/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134103165157
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbscoms.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

re

hanouni, en attendant qu'un(e) astucien(ne) analyse ton rapport Hijack, tu vas le réinstaller!

Il faut qu'il soit à la racine de C, pas dans un fichier temporaire. Prend le lien dans Pré-nettoyage d'un PC,

il va s'installer tout seul au bon endroit et en français!

Ton XP n'est pas à jour, pourquoi? As-tu une copie légale?

Heu, quel lien ? Celui que j'ai vu propose un téléchargement, or j'ai déjà HijackThis.

Pour Windows XP, j'ai acheté mon PC d'occasion il y a 2 anset XP était déjà installé. Par la suite, quand j'ai voulu faire les MAJ pour SP1 et SP2, j'ai appris que c'était impossible : version non légale.

re

Ton HijackThis est dans un répertoire temporaire

C:\DOCUME~1\Afaf\LOCALS~1\Temp\Rar$EX00.801\HijackThis.exe

Il faut qu'il soit comme ça:

C:\HijackThis\HijackThis.exe

C:\Hijackthis Version Française\hijackthis vf.exe (avec la version française)

( dans un dossier sur C )

Tu peux supprimer celui que tu as et prendre le lien que j'ai donné!

Ton ordi, tu l'as acheté d'un particulier ou dans un commerce?

Ok, je l'ai installé en français, je reposte le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 15:51:34, on 2006-12-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lexmark\Lexmark Precision Photo\MemCard.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 777-search.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 777-search.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Precision Photo\MemCard.exe -startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0957f3ed6029159d0e03/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134103165157
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbscoms.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

Quand j'ai installé HijackThis VF, j'ai à nouveau eu le message : "Cette application n'a pas pu démarrer car sf_os.dll est introuvable"

Merci beaucoup pour ton aide, France Q (j'ai vu que tu résides dans la Beauce )

re

Merci beaucoup pour ton aide, France Q (j'ai vu que tu résides dans la Beauce )

Oui, une Jarret Noir et fière de l'être!

Édite ton premier post (avec le crayon) et ajoute à ton titre "Rapport Hijack" pour faire analyser ton rapport.

Tu devrais songer à te procurer une version légale de Windows parce que tu vas toujours avoir un système infecté.

Bonne chance!

Merci du conseil, mais il n'a jamais été infecté. Je passais régulièrement Ad-aware SE, Spybot et Panda Active Scan. Compte tenu de ma version d'XP, je faisais justement très attention en scannant tous mes téléchargements, les pièces-jointes par courriel, etc. Je ne comprends rien a ce qui s'est passé l'autre jour.

Mille merci à toi, collègue

Hello,

Télécharge SDFix (de Andy Manchesta) et sauvegarde le sur ton Bureau...
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Télécharge clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Démarre en mode sans echec

Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, suis les consignes.

Bonjour Narco4,

Merci d'avoir répondu et merci de me guider. Je ne vais pas avoir le temps de le faire aujourd'hui, je m'en occupe dès demain après-midi.

Merci et encore et à demain

Bonjour,

Problème avec le lien Clean zip : 404 not found

hanouni a écrit :

Bonjour,

Problème avec le lien Clean zip : 404 not found

Bonjour,

Attend un peu...

Re-bonjour,Je m'absente, je serai de retour vers 15h00 (21h00 chez vous). Merci

Re,

Ok

Le lien fonctione maintenant...

@+

Bonjour,

J'ai dézippé Clean (extraire ici) puis SDFix. Pour SDFix, un bloc notes est apparu avec ceci :

The SDFix Folder has been extracted to %systemdrive% - Please run from that location.

(%systemdrive% = drive that contains the Windows directory - typically 'C:\SDFix')

Please open the SDFix folder in Safe Mode then double click the RunThis.bat
file to start the fixtool. If run in Normal Mode, options to download and
run Anti-Virus command line scanners (Sophos & asquared) are displayed.

Et...je ne sais pas quoi faire.

Merci

Re,

fait le en mode sans echec!

Puis telécharge