Bonjour à tous,

Depuis une dizaine de jours, il m 'est devenu impossible d' installer de nouveaux logiciels.

Windows indique : " fail to expand shell folder constant "user appdata". puis " veuillez corriger le problème et recommencer".

A noter qu' il m 'est en revanche juste possible de réinstaller un logiciel par dessus le préexistant. Idem pour les mises à jour.

Vérification Virus.:

MSE ne m 'a jamais rien signalé de douteux.

Malwarebyte a trouvé 2 fichiers JPG corrompus + 1 "adware.SkyMedia" dans Hkey_Current_user\software\skyMedia.

Super antiSpyware a trouvé 36 tracking cookies + 1 "trojan.Agent/gen-Koobface[Bonkers]

Je n 'ai jamais eu à installer hikackthis. Aussi, comme je ne pourrai pas l 'installer pour l 'instant, autant l 'oublier.

Ne trouvant rien sur le sujet dans Pca, suis allé sur des sites anglais ou US. Car la- bas, beaucoup ont déjà été touchés, apparemment.

En gros, ça dit ceci : Troyen très probable qui empêche un administrateur, faute de permission, d'installer de nouvelles applications. Ce troyen est classé comme "troyen back-door". Il peut "écrire sur des sites non certifiés ou des clés UsB ou n 'importe quel type de média inscriptibles".

Solutions proposées : démarrer en mode sans sans échec, et aller dans la BdR.

Suivre le chemin Hotkey_current_user > Software>Microsoft>Windows>Current version>Explorer>User shell folder. Localiser la clé "recent" , puis "right mouse clic on the / key folder, and choose delete". Vérifier ensuite que le Appdata folder n' a pas été modifié en $APPDATA$. Si tel est le cas," clic sur APPDATA" " and "change $APPDATA$ to %USERPROFILE%\Appdata\roaming". Pas vraiment clair leur truc....c' est pourquoi je ne l 'ai pas traduit en français pour éviter un non-sens.

Un autre internaute ajoute : "change the path on the bad comp to %USERPROFILE%\Apdata\roaming" et rebooter en mode sans échec ("safe mode"). Pas vraiment plus clair.

Un troisième préconise de changer son pseudo d' administrateur...

Enfin, redémarrer.

Après quoi, compléter le job avec "trojan remover" qui enlèvera toutes restrictions que le "spyware" peut avoir mise sur tout autre dossier ( folder).

Utiliser ensuite "registry easy" pour réparer les erreurs du registre et optimiser du même coup votre Pc.

Bon, j' ai tenté ce qu "ils disent de faire, mais j 'ai probablement merdé quelque part car chez moi, ça fonctionne pas.. je ne peux donc utiliser leur logiciel miracle.

Pour ceux ici qui entravent quelque chose à l 'anglais technique de connaisseur en informatique, je leur donne ci-dessous deux URL que m 'a filé un british des plus sympa. ( il est vrai que je lui avais expliqué que je ne pourrai acheter son logiciel si je ne pouvais l 'installer...)

http://www.bleepingcomputer.com/forums/topic235438.html

http://social.answers.microsoft.com/Forums/en-US/vistasecurity/thread/469b0600-9c3c-4e96-98e0-b4342c40df2c

Quant à trouver un point de restauration précédent, le plus ancien remontait à dix jours... donc j 'étais déjà infecté...

Bon, j 'espère avoir aidé nos PCastuciens confirmés et mille fois plus savants que moi en la matière....... pour qu 'ils puissent m 'aider à leur tour pour que je fasse ( en comprenant ce que je fais, ça me changerait) les bonnes manips....

Je les en remercie par avance.

Ce troyen me parait bien inquiétant car particulièrement vicieux et sournois. Comme l 'est probablement son concepteur, un mec ( j' espère pas une femme) plutôt mal dans sa peau. Et dans celle des autres...sûrement..

Bonjour. Voila la procèdure a suivre.

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

un helper vous prendra en charge. Cordiamement.

daniellapin a écrit :

Bonjour. Voila la procèdure a suivre.

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

un helper vous prendra en charge. Cordiamement.

Bonjour et merci d' avoir répondu.

Je fais le nécéssaire. Vous aurez tout au plus tard mardi prochain. Vais devoir m 'absenter ce WE.

Commentaires : A) Ai pu à mon grand étonnement installer ZhpDiag. Est-ce à cause de la " bidouille" que j 'ai effectuée " à tâtons" avant de vous contacter, dans la base de registre ? Je ne sais... En revanche Ce ZhpDiag refuse d' enregistrer son analyse directement sur le bureau. Ai dû effectuer une recherche pour retrouver ce fichier Txt.... et le coller moi-même sur le bureau. Est-ce normal ?

B) S' agissant de la " bidouille" indiquée dans mon premier Post et effectuée plus ou moins bien... !. Ce serait peut-être une bonne idéee, de pouvoir m' indiquer les intitulés exacts de la clé Appdata et des données y incluses, ainsi que de son emplacement précis en se basant sur l' analyse de la BdR d' un pc non vérolé.. Faut-il aussi rétablir la clé " recent" ? Une telle vérification pourrait en principe me permettre d 'installer les logiciels spécialisés que vous ne manquerez pas de m' indiquer, une fois que vous aurez pris connaissance des problèmes à résoudre.

Pour rappel, j 'ai Windows seven 64 bits..

C) MBAM : l 'analyse avait été faite dès que je me suis aperçu de mon problème. Comme celle de Super anti spywares, d' ailleurs. Et donc avant de vous contacter. Par ailleurs, L'enregistrement .txt de l 'analyse MBAM a été fait avant d' opérer les actions nécéssaires à l 'éradication des "erreurs". Donc les "non action taken" ne sont plus d' actualité. Elles ont été réalisées directement par moi sur le DD. Par ailleurs, MBAM a effectué une analyse approfondie, et non pas "rapide". Elle a concerné C et F (le C n' incluant que le système d' exploitation, et le F ( deuxième disque dur) ne contenant que des données.

Bon Week-End.

Bonjour

bon. voici l 'analyse de ZhpDiag

http://cjoint.com/?0mlcsoScJF6

Et voici MBAM

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5214

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09/12/2010 21:28:39
mbam-log-2010-12-09 (21-27-51).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 343739
Temps écoulé: 1 heure(s), 5 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\SkyMedia (Adware.SkyMedia) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
f:\12_sites aspirés_01\artivision\artivision\Artiv\www.conspiration.cc\images\salimbeni_eucharist.jpg (Extension.Mismatch) -> No action taken.
f:\12_sites aspirés_01\artivision\artivision\Artiv\www.conspiration.cc\jour\chimere_morgellon.jpg (Extension.Mismatch) -> No action taken.

---------------------------

Je rappelle et pour complément d' information que Super anti spyware a de son côté détecté : 36 "tracking cookies" + 1 "trojan.Agent/gen-Koobface[Bonkers].

Normalement ils ne devraient plus être présents sur mon ordin. Comme pour MBAM, j' avais supprimé ces indésirables directement sur le DD, avant enregistrement de l 'analyse MBAM.TxT.

On vérifiera ça plus tard, je suppose..

Bon wek end et merci pour votre Job

Bonjour,

Pourquoi es-tu si sur que c'est une infection?? Super antispyware m'en a trouvé autant que je n'ai pas touché.Il est anormal qu'il y ait autant de suspect. Je suis allé voir ton sujet ici: http://social.answers.microsoft.com/Forums/en-US/vistasecurity/thread/469b0600-9c3c-4e96-98e0-b4342c40df2c

Et personne ne parle d'infection, mais de problème système; puisque tu lis l'anglais tu verras qu'on parle de droit d'administrateur, entre autre.

Bonjour,

Faites une restauration système à une date antérieure au problème.

pear a écrit :

Bonjour,

Faites une restauration système à une date antérieure au problème.

Bonjour pear, et merci de votre réponse.

j' ai pris soin dans mes post d 'être le plus exhausif possible afin de faciliter le travail des helpers du groupe sécurité. Je sais qu 'il est rare que le gens lisent les post entièrement... Ai pourtant essayé d' être clair dans mes propos... Sniff... !

J' ai entre-autres indiqué, ( premier post) que s' agissant d' une d' une restauration, la plus ancienne, me concernant remontait à dix jours. Je complète le propos : Celà est dû au fait que j 'ai désinstallé recemment pas mal de logiciels avec Revouninstaller. Celui-ci crée un point de restauration avant chaque désinstallation. Du coup, comme le nombre de ces points est limité, les plus anciens points ont été effaçés, remplaçés par les nouveaux. Et ces nouveaux points comportaient sans que je le sache alors le ou les troyens qui créent problèmes.

J' ai bien entendu et néanmoins tenté le coup avec la plus ancienne.... et effectivement, le problème subsistait... Donc, pour l 'instant ces restaurations ne servent à rien...

A suivre... Si vous avez une autre idée, je suis preneur... Et par avance, merci..

Ce problème peut se produire si l'une des sous-clés de Registre suivantes contient un paramètre incorrect :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Vous avez , par exemple:
Name - Appdata
Type - REG_EXPAND_SZ
Data - %APPDATA%
ou
Name - 374DE290-123F-4565-9164-39C4925E467B
Type - REG_EXPAND_SZ
Data - %USERPROFILE%\downloads


vérifier appdata
Vous devez avoir:
Sous Vista;----------------:%USERPROFILE%\AppData\Roaming
Si vous avez une sous clé"Récent" supprimez la.

ELICHA a écrit :

Bonjour,

Pourquoi es-tu si sur que c'est une infection?? Super antispyware m'en a trouvé autant que je n'ai pas touché.Il est anormal qu'il y ait autant de suspect. Je suis allé voir ton sujet ici: http://social.answers.microsoft.com/Forums/en-US/vistasecurity/thread/469b0600-9c3c-4e96-98e0-b4342c40df2c

Et personne ne parle d'infection, mais de problème système; puisque tu lis l'anglais tu verras qu'on parle de droit d'administrateur, entre autre.

Bonjour Elicha,

Il faut bien sûr s' entendre sur le mot "infection".

Pour moi, le fait que des clés ( de registre) changent sans raison apparente d' intitulé, n 'est en tout cas pas le signe d' une bonne santé. Donc le pc vulnérable et dangereux au second degré pour les autres.

Par ailleurs, certes, si sur Microsoft social answer, le mot "Troyen" ou "malware" n 'est pas mentionné, Il l 'est en revanche dans des sites qui me paraissent sérieux ( les anglo-saxons sont ni plus ni moins farfelus que les latins), en matière d' informatique en tout cas...

Exemple :

http://registryfixcleaner.blog.com/internal-error-failed-to-expand-shell-folder-constant-user-appdata

Bon, je vous l 'accorde : il est vrai que c'est le site (ou blog) d' une entreprise commerciale...

Enfin, je remarque que notre problème n 'est pas nouveau. J' ai lu des post sur le sujet ou des sujets similaires qui remontent à Windows ME ! puis à Vista, puis maintenant à Seven, 64 bits ou non. Je pense que Microsoft est au courant ( ou alors ... vive Linux.!.), et que si ses sytèmes successifs étaient responsables de ce genre de problème, ils auraient corrigé cette faille(?) depuis tout ce temps... ! Donc je pense à tord ou à raison, restons modestes... que la cause est plus extérieure qu 'interne au système. Quoiqu 'il en soit, à tout problème, une ou des solutions ! La première étape est évidemment de pouvoir installer des logiciels d' éradication de Malware ou des correctifs adaptés à la situation. Et la deuxième étape, est de supprimer la cause du problème et donc pas seulement les effets. Sinon, c' est le crocodile qui se mord la queue. Ou le serpent, comme on voudra...!

S' agissant de " administrateur". Ceci est mentionné dans mon premier Post... Mais je n 'utiliserai le truc qu 'en dernier recours et en tout cas pas avant que la cause ne soit éclaircie. Sinon, à terme ça ne servira à rien.

Enfin : vous dites "Super antispyware m'en a trouvé ( des infections ou malwares) autant que je n'ai pas touché". Avec tout le respect que je dois à une personne qui a répondu à mon post..., je ne suis pas d' accord avec vous. Personnellement , dès que j 'en détecte un, ( un vrai, ou un vrai-ou-faux-vrai-vrai-faux positif, ou négatif), peu importe, je le vire illico de mon DD.

Depuis 2 ans je n 'ai jamais eu de problèmes. Peut-être est-ce dû à ma paranoïa en la matière ? celui-ci est le premier...ca devait arriver statistiquement, je suppose..

Merci, en tout cas. . A bientôt.

Re bonjour pear,

Vu et apprécié le post, mais problèmes de compréhension . Suis pas spécialiste de la BdR.

1 ) HKEY_CURRENT_USER

- Suis au niveau de "User shell folder" ( colonne de gauche). A droite, sous " nom" j 'ai la clé identique à celle que vous m 'avez indiquée. Le nom de la "valeur" est la même ( {} : parenthèses en plus). Données de la valeur : %USERPROFILE%\downloads.

- Je saute une ligne et clic sur Appdata. Nom de la valeur: Appdata. Données de la valeur : %USERPROFILE%\Appdata\Roaming

- Un peu plus bas : toujours sous " nom" : localAppdata. Nom de la valeur : localAppdata. Données de la valeur : %USERPROFILE%\Appdata\Local.

"recent": elle se trouvait soit à gauche soit à droite ou les deux. Mais je l 'avais déjà supprimée.

En revanche, incompréhension concernant votre ligne "Type - Expand_SZ". C 'est quoi ? où ? comment?

Question : j'ai un compte utilateur standart et un compte administrateur tous deux naturellement protégés par mot de passe diférents. Est ce que "mon nom" standart ou administrateur ne devrait pas apparaitre dans une de ces lignes ci-dessus de la BdR ?

2) HKEY_LOCAL_MACHINE

Niveau "User shell folder" ( colonne de gauche) A droite, sous "nom", j 'ai (notamment) Common Appdata. Nom de la valeur : common Appdata. Données de la valeur : %Programdata%. Pas d' autres mots à ma connaissance comportant "Appdata".

Tout ceci est-il correct ?

Je reste bien sûr à votre disposition. Vous me parlez de Vista. il n 'y a pas de différences avec Seven 64 bits ?

Que disent les analyses concernant les deux supposés Troyens détectés ? Merci pour tout.

Pour Windows Vista, Windows 7 et Windows Server 2008

Nom de la valeur Type Données de la valeur
{3D644C9B-1FB8-4f30-9B45-F670235F79C0} REG_EXPAND_SZ %PUBLIC%\Downloads
Common AppData REG_EXPAND_SZ %ProgramData%
Common Desktop REG_EXPAND_SZ %PUBLIC%\Desktop
Common Documents REG_EXPAND_SZ %PUBLIC%\Documents
Common Programs REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs
Common Start Menu REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu
Common Startup REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
Common templates REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Templates
CommonMusic REG_EXPAND_SZ %PUBLIC%\Music
CommonPictures REG_EXPAND_SZ %PUBLIC%\Pictures
CommonVideo REG_EXPAND_SZ %PUBLIC%\Videos
Si un Nom, un Type ou une Valeur ne correspond pas au tableau , cliquez avec le bouton droit sur le Nom de la valeur, puis cliquez sur Supprimer.
Dans le volet gauche, cliquez avec le bouton droit sur User Shell Folders, pointez sur Nouveau, cliquez sur Valeur de chaîne extensible, tapez la valeur le Nom que vous souhaitez en vous basant sur le tableau , puis appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur la valeur que vous avez créée , cliquez sur Modifier, tapez la valeur dans la zone Données de la valeur pour le Nom de la valeur, puis cliquez sur OK.
Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

rereBonjour, pear

Rien noté de spécial. tout semble correspondre à votre tableau. Nom de valeur et données de valeur identiques à ce tableau. Je suppose qu 'il s' agissait bien de la branche HKEY_Local_machine ! Et de la clé "user shell folder". En revanche, ai vu nulle part mention de REG_expand_SZ.

Dans la colonne "nom" il y a en plus, non indiqué dans votre tableau une clé : "par defaut" (vide).Et rien d' autre.

Ai re-vérifié également dans Hkey current_User. Pas de changement depuis cet après-midi.

Ai tenté à tout hasard de faire une re-install. Rien. Négatif. Affligeant. Je commence à me préparer en douceur à un reformatage. , c' est dire..

Bonne journée.

Bonjour,

Désolé que cette piste n'ait rien donné.

Mais avez vous vérifié les 2 clés?

Je vous remets la procédure entière:

Lors d'une tentative d'installation d'un logicie!, vous avez un message"Impossible d'accéder etc..
P.ex:"Failed to Expand Shell Folder Constant "userappdata"

Ce problème peut se produire si l'une des sous-clés de Registre suivantes contient un paramètre incorrect :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

vérifier appdata
Sous xp vous devez avoir:%USERPROFILE%\ApplicationData
Sous Vista;----------------:%USERPROFILE%\AppData\Roaming
Si vous avez une sous clé"Récent" supprimez la.
Une restauration système à une date antérieure règle aussi le problème.

Cliquez sur Démarrer, sur Exécuter, tapez Regedit.exe, puis cliquez sur OK.
Recherchez la sous-clé de Registre suivante et cliquez dessus :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Dans le volet droit, vérifiez que les valeurs sont les mêmes que celles indiquées dans le tableau suivant. Si toutes les valeurs correspondent au tableau, passez à l'étape 7.

Pour Windows 7 et Windows Server 2008

Nom de la valeur Type Données de la valeur
{374DE290-123F-4565-9164-39C4925E467B} REG_EXPAND_SZ %USERPROFILE%\Downloads
AppData REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming
Cache REG_EXPAND_SZ %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files
Cookies REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
Desktop REG_EXPAND_SZ %USERPROFILE%\Bureau
Favoris REG_EXPAND_SZ %USERPROFILE%\Favoris
Historique REG_EXPAND_SZ %USERPROFILE%\AppData\Local\Microsoft\Windows\History
LocalAppData REG_EXPAND_SZ %USERPROFILE%\AppData\Local
My Pictures REG_EXPAND_SZ %USERPROFILE%\Pictures
My Music REG_EXPAND_SZ %USERPROFILE%\Music
My Video REG_EXPAND_SZ %USERPROFILE%\Videos
NetHood REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal REG_EXPAND_SZ %USERPROFILE%\Documents
PrintHood REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Menu Démarrer REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates
Si un Nom, un Type ou une Valeur ne correspond pas au tableau cliquez avec le bouton droit sur le Nom de la valeur, puis cliquez sur Supprimer.
Dans le volet gauche, cliquez avec le bouton droit sur User Shell Folders, pointez sur Nouveau, cliquez sur Valeur de chaîne extensible, tapez la valeur Nom que vous souhaitez en vous basant sur le tableau, puis appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur la valeur que vous avez précédemment, cliquez sur Modifier, tapez la valeur dans la zone Données de la valeur pour le Nom de la valeur, puis cliquez sur OK.

Recherchez la sous-clé de Registre suivante et cliquez dessus :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
et faites la même manipulation.

Dans le volet droit, vérifiez que les valeurs sont les mêmes que celles indiquées dans le tableau suivant. Si toutes les valeurs correspondent au tableau, redémarrez

Pour Windows 7 et Windows Server 2008

Nom de la valeur Type Données de la valeur
{3D644C9B-1FB8-4f30-9B45-F670235F79C0} REG_EXPAND_SZ %PUBLIC%\Downloads
Common AppData REG_EXPAND_SZ %ProgramData%
Common Desktop REG_EXPAND_SZ %PUBLIC%\Desktop
Common Documents REG_EXPAND_SZ %PUBLIC%\Documents
Common Programs REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs
Common Start Menu REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu
Common Startup REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
Common templates REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Templates
CommonMusic REG_EXPAND_SZ %PUBLIC%\Music
CommonPictures REG_EXPAND_SZ %PUBLIC%\Pictures
CommonVideo REG_EXPAND_SZ %PUBLIC%\Videos

Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

A propos de Mbam, il me vient un doute:

Vous aviez bien mis à jour et nettoyé ?

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Ok.. Je reprends tout depuis le départ... votre dernier tableau est plus complet que le premier.. Tout sera vérifié d' ici ce soir. Vous transmettrai tous les résultats. Bonne journée..

PS) Je n 'avais pas " supprimé la sélection " par l 'intermédiaire' de MBAM vu que il était bien inscrit dans le premier post d 'accueil ( "procédure à suivre") " ne pas supprimer la sélection"... J' avais juste ' avant de vous contacter, supprimé " à la main"... Pas grave..

Avant de faire travailler MBAM : Voici ce que j' ai trouvé, point par point et qui ne correspond pas à votre tableau modifié. Pas encore opéré d' actions : j'attends votre accord pour les modifications éventuelles.Vu que même si des libellés sont différents, ils veulent dire la la même chose. mais bon, comme je n 'y connais pas grand chose ! Par ailleurs, je n 'ai pas été voir dans l 'explorer sous "users" par exemple, si les libellés sont conformes à ceux de la BdR. Suis pas sûr que ce soit utile, cette idée, issue de nulle part, venant de moi...!

Votre tableau >>> ma base de registre

1) HKEY_CURRENT_USER

Desktop REG_EXPAND_SZ %USERPROFILE%\Bureau >>> Nom de la valeur desktop ; mais, données de la valeur: %USERPROFILE%\desktop

Favoris REG_EXPAND_SZ %USERPROFILE%\Favoris >>> Nom de valeur : Favorites ; donnée de la valeur %USERPROFILE%\Favorites

Historique REG_EXPAND_SZ %USERPROFILE%\AppData\Local\Microsoft\Windows\History >>>> Nom de la valeur : History ; données de la valeur : %USERPROFILE%Appdata\local\Microsoft\Windows\History

My Music REG_EXPAND_SZ %USERPROFILE%\Music >>> Nom valeur : identique ; mais données de la valeur : %USERPROFILE% \documents\Music.( "documents" est en plus)

De plus l' ordre de my music et my pictures est inversé dans votre tableau. Est-ce important par rapport à l 'ordre de la BdR ?

Menu Démarrer REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu >>> nom de valeur: Start Menu . Données de la valeur identiques à celles de votre tableau.

Recent REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent

Recent avait été supprimé avant contact groupe sécurité et confirmé par vous. faut il le remettre quand même ?

Les autres clés : sauf erreur ou omission, pas de différences avec votre tableau complété.

A noter ? :
j' ai en plus sous "nom", deux lignes supplémentaires :

{56784854-C6CB-462B-8169-88E350ACB882} Nom de la valeur : Suite de chiffres et lettres identique ; Données de la valeur %USERPROFILE%\Desktop\contacts

{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} Nom de la valeur : suite de chiffres et lettres identique. Données de la valeur %USERPROFILE%\Documents\Music\Links

Et une clé "par defaut": nom de la valeur: "(par défaut)";données de la valeur :vide. rien d 'écrit.

2) HKEY_Local_Machine

Rien a signaler. Tout semble correct.
A noter : la clé en suite de chiffres et lettres ( celle qui est indiquée dans votre tableau) : Si on clic sur OK, (pour signifier d' accord), on obtient : "impossible de modifier Erreur lors de l 'écriture du nouveau contenu de la valeur". Mais c' est probablement normal, je suppose.

Enfin, présence de la même clé "(par defaut)", et vide.

A propos des points de restauration : je vous avais répondu à ce sujet. Impossible pour moi. Pour cause désinstallations successives avec RevoUninstaller.
Voilà . A votre disposition. On ne me dérange jamais...

Bonsoir,

Tout cela parait correct.

Cependant , un collègue m'a opportunément rappelé cette possibilité , qui fait automatiquement le travail:

Si vous répugnez à aller dans Régistre
FixIt de Microsoft

merci du tuyau, pear,

Ai passé FixIt

Ai testé, ensuite, plusieurs installations de logiciel différents... et.... que dalle ! nada, Rien... échec..! je vais aller voir si ce "fixIt" a modifié quelque chose à ce que j 'ai vérifié cet apres-midi selon votre tableau.

A propos, si j' ai bien compris, je ne dois pas effectuer les manips suite aux différences d 'intitulés constatés ?

A moins que vous ayez une meilleure idée.. Il doit bien y avoir une raison à mon problème ! ... que je ne suis pas le seul à subir, apparemment.

Bonne nuit.

Edit : ai vérifié si des changements avaient été apports par FixIt : rien n 'a été changé sur tout ce que j 'avais vérifié. Va falloir trouver autre chose... help..!

Bonjour,

C'est désolant, cet échec.

Le message que vous recevez était pourtant bien explicite.

Mbam n'ayant rien trouvé, il n'y aurait pas de backdoor.

SuperAntiSpyware doit être désactivé si vous utilisez Mbam parce qu'il ne faut jamais avoir 2 antispywares ou 2 antivirus actifs.

On va rechercher d'abord la présence de rootkit:

Télécharger GMER
clic sur "Download EXE" et télécharger le fichier sur le bureau.

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :
Show All
Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"
Clic en bas à droite sur le bouton "Scan" pour lancer le scan.



Lorsque le scan est terminé, clic sur "Copy"

Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.
Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.


Ouvrez le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistrer le fichier sur le bureau et copier/coller le contenu.

Ok bonjour pear,

Vais fidèlement suivre vos indications. Ai repassé cette nuit ( ai bien dormi, merci)Mbam en mode complet sur TOUS mes disques dur: RAS. Tout est aussi vierge que du temps d' Adam et Eve. Avant la pomme... et ses pépins...). Donc tout ce qu 'il avait trouvé a bien été éradiqué.

Je passe à votre étape suivante ( GMER). Excusez ma " lenteur" mais c' est qu 'il faut aussi que je gagne ma vie.. Donc je mène simultanément plusieurs tâches...

Incidemment : après FixIt, je constate quelques petites différences de comportement de mon Pc qui m 'obligent à quelques petites adaptations d 'utilisation ( par exemple : changement des endroits d' enregistrement de données, etc). Rien de grave.On se remet de tout dans la vie, même d' une bonne action..!

A tout à l 'heure.

Bonjour pear,

ci-dessous résultat pour Gmer. Commentaires suivent.

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-15 01:45:23
Windows 6.1.7600
Running: 1hx0vj95.exe

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\ShellExplorer\{B0D5CBA9-7917-44fa-AD19-42F93ED98E7B}@Version 67174402
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002243d2b674
Reg HKLM\SYSTEM\ControlSet002\Control\ShellExplorer\{B0D5CBA9-7917-44fa-AD19-42F93ED98E7B}@Version 67174402
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002243d2b674 (not active ControlSet)

---- Files - GMER 1.0.15 ----

File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\WAL.db 2048 bytes
File C:\ADSM_PData_0150\DragWait.exe 315392 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes

---- EOF - GMER 1.0.15 ----
-------------------

1)Impossible de faire fonctionner le logiciel si "Non Ms File" est coché, et même si je désactive aussi " devices" et "files". Pas grave. l 'analyse est juste un peu plus longue.

2) pas de ligne en rouge sur la page principale. En revanche, dans l 'onglet "files" , en haut, , et en déroulant, j 'ai dans le tbleau de droite ADSM_PData 0150 en rouge.Semble-t-il un dossier caché ( cocher "hidden file only". Pas vu de rouge ailleurs dans les autres onglets de Mger

3) Toujours par curiosité suis allé sur " User shell folders" toujours dans Hkey current User. RAS. Pas de rouge. Ai aussi regardé dans les autres branches pour voir par sondage si il y a du rouge... rien vu de spécial.

4) En revanche, branche HotKey_local Machine : beaucoup de lignes rouges dans "Software" .De quoi se flinguer au rasoir.. !

"Microsoft" dans "Software" ne contient pas de lignes rouges. Donc pour "user shell folder" non plus.

Evidemment, j 'ai touché à rien...!

Est-ce normal... ? Si problème il y a, quoi faire ?

Voilà pour aujourd' hui... Bonne journée et merci encore pour votre patience.

Bonjour,

Ce que vous montrez n'éclaire pas ce que vous dites et l'inverse non plus.

Recherche de rootkit

Téléchargez RootRepeal
Désactiver les modules résidents:l'antivirus,antispyware ,Parefeu
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections
Vous devez avoir les droits Administrateur

Installez RootRepeal , cliquez sur *Settings->Options*
Onglet "Général Cochez->Only suspicious ..
. [Driver scan] ... [Files scan] ... [Processes scan] ... [SSDT scan] (v. 1.1.0)
aucune raison de changer les paramètres standards.

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

Choix des scans (boutons de sélection en bas, à gauche).

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.
Cliquez [Select scan]

Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

Un choix des partitions du disque est possible dans la fenêtre [Select drives].
Cliquez sur Save Report
Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/04 18:47
Program Version: Version 1.3.2.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -
Status: -
==EOF==

Cliquez Save reports , cliquez sur Bureau et nommez le fichier root.txt

et postez le.

Bonjour pear, merci de votre attention.

Root repeal : Juste un problème : il ne fonctionne qu 'avec les 32 bits et PAS les 64 bits..... Donc, impossible à mettre en oeuvre. Décidemment, on joue de malchance... !

Je me suis empressé de rétablir les protections... en attendant mieux... :)

S' agissant de : "Ce que vous montrez n'éclaire pas ce que vous dites et l'inverse non plus".. je pense que vous voulez dire que les résultats obtenus par Gmer ne sont pas significatifs. Comme je n' y connais pas grand chose, je vous crois sur paroles.

Pour le reste, je me demande si le problème ne derait pas dû à un logiciel que j 'aurais installé et qui contiendrait une saloperie quelconque.. Et qui plus est, indéboulonnable, ou qui serait en conflit avec certains éléments du système. Je ne crois pas à une défaillance initiale proprement dite du Système. mais bon... n 'étant pas spécialiste... je me dis malgré tout que peut-être une mise à jour automatique de Microsoft peut en être la cause....Mais laquelle et quand ? Comme d' habitude, ils diront " mais non... mais non...." Autant dire " mission impossible" pour un néophyte comme moi..!

Ai repassé cette nuit MSE ( mis à jour " tous les jours) en mode approfondi ( sur TOUS mes disques. Il n' a rien détecté.

En sait pas plus...A bientôt.

Root repeal : Juste un problème : il ne fonctionne qu 'avec les 32 bits et PAS les 64 bits.

Gmer n non plus.

J'avais oublié que vous etiez sous x64.

Encore un essai, si vous le voulez bien:

Télécharger OTL sur le bureau
Double cliquer sur l'icône


Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs
Sous Rapport
Cliquez ----------------------------->Rapport Standard
Sous Régistre Standard cocher Tous
Cochez------------------------------> Lop et Purity

Recherche du MD5:
Dans Pesonnalisation copier_coller le contenu ci dessous:

netsvcs
drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s
/md5start
userinit.exe
wininit.exe
explorer.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT


Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

http://cjoint.com/?0mpvodZXPyb ceci est pour " extra"

http://cjoint.com/?0mpvq6ToxRb ceci est pour OTL (non "extra")

Peut-être, le bout du tunnel n 'est pas loin.....

Juste 5 commentaires :" asusevenJD1" semble ( notamment) concerné. J'ai cet ordin depuis un an environ. il ne m 'a jamais été signalé un problème avec.

Super antispyware : ai probablement dû m 'en servir une ou deux fois à titre de précaution. Et deux ou trois fois récemment quand Le problème de " fail to expand... etc" est survenu. Il n' a pas dû s' installer entièrement.

Autre chose : Une restauration , il y a environ 3 mois, a été effectuée avec succès, ( me souviens plus pour quelle raison, mais c' était mineur.). Une deuxième l' a été quand me suis aperçu de mon problème. Ca n' a servi à rien vu que mon plus ancien point de restauration remontait à dix jours, et que le problème s' est "déclaré" un peu avant. Comme j' ai supposé alors que c' était le logiciel qui déconnait, y ai pas vraiment prêté attention au début ..

Ligne 100Sexlinks.com : Rien à cacher. Si c' est cochon, pas impossible : me souviens vaguement, qu 'une fois, j' ai eu un "popup" inattendu à partir d' un site pourtant apparemment sérieux. Et bien sûr, par curiosité, ai sûrement regardé... "Il ne faut jamais tenter le Diable", disait ma grand_mère !

Ligne 123fPornInfo : idem. Mais je crois plutot que c' est un libellé qui a fait rire pas mal d' internautes, et qui venant de google n 'a rien à voir avec ce que ça laisse croire.. ai lu celà sur je ne sais sur quel site ( clubic je crois).

Pour le reste, à vous le diagnostic, Docteur. Pour Amputation ou simple pommade.