Impossibilité à passer à Vista SP2 via WU

par **Cévévécé** » 17 Juin 2012, 16:39

Bonjour,

Sur l'un des PC d'une association dont je suis membre, nous rencontrons le problème suivant : un message signalant un problème de mise à jour de Windows au démarrage, et en particulier l'impossibilité de passer manuellement à Vista SP2.
Windows update ne fonctionne pas, et la tentative d'installation manuelle de SP2 se traduit par une erreur 8000FFF...

En faisant une recherche sur le Net je suis finalement (après plusieurs tentatives d'application d'autres conseils trouvés ici et là, non couronnées de succès) tombé sur ce forum, et en particulier sur la discussion suivante :
problème avec Windows Update

Comme je ne sais pas si mon problème est strictement équivalent, et avant de me lancer dans le déroulement des différentes actions suggérées par le modo du forum qui a pris la question à son compte, j'ai, pour gagner du temps, déroulé les premières étapes préconisées (téléchargement et lancement de ZHPDiag2, stockage du fichier résultant du scan).
Le résultat est ici :
http://cjoint.com/?3FrrzJElAM4

Merci par avance pour votre aide.
Par contre, comme c'est un PC que je ne vois que le week-end, j'aurai peut-être du mal à être réactif pour appliquer les conseils que vous voudrez bien me prodiguer.

JB

par **Apollo** » 17 Juin 2012, 16:47

Bonjour,

Toujours les mêmes infections par simple inattention lors d'installations de freewares = Toolbars et adwares.

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

http://security-domain.be/download/AD-Remover.html

Ferme toutes les applications ouvertes pour l'installer.

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

Clique sur Nettoyer

[center]

[/center]

Le rapport se trouve aussi sous C:\Ad-Report Clean.
Copie/colle-le dans ta réponse stp.

---------------------------------------
2 ) Télécharge AdwCleaner par Xplode: http://general-changelog-team.fr/telech ... adwcleaner

Enregistre-le sur le bureau (et pas ailleurs).

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.
Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Suppression et laisse travailler l'outil.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[S1]

-------------------------

@++

par **Marie** » 17 Juin 2012, 16:51

Bonjour,

Je laisse les spécialistes analyser ton rapport et te dire si le PC est infecté ou non.
Par contre, en ce qui concerne l'erreur 8000FFFF tu peux déjà essayer ce qui est dit dans ce message. La procédure est sans danger et a résolu l'erreur 8000FFFF de Unholy. :sourire:

[Edit] Salut Apo :wink:

.. Je n'avais pas vu ta réponse. :embarrassé:

[/Edit]

par **Apollo** » 17 Juin 2012, 16:58

Bonjour Marie,

C'est bon pour une fois; la prochaine fois je cafte à l'administratrice.

Ah ben non, c'est toi. :lol:

par **Cévévécé** » 17 Juin 2012, 17:09

Merci pour vos réponses.
J'essaie de suivre...
A l'issue de l'étape 1) demandée par Apollo, j'obtiens ceci :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:55:55 le 17/06/2012, Mode normal

Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1 (X86)
Membres@PC-DE-MEMBRES (Acer Aspire M1201)

============== ACTION(S) ==============

Dossier supprimé: C:\Program Files\SpiderMessenger
Dossier supprimé: C:\Users\Membres\AppData\Roaming\EoRezo
Dossier supprimé: C:\Users\Membres\AppData\Local\EoRezo
Dossier supprimé: C:\Program Files\EoRezo
Dossier supprimé: C:\Users\Membres\AppData\Local\Tuto4pc

(!) -- Fichiers temporaires supprimés.

-- Fichier ouvert: C:\Users\Membres\AppData\Roaming\Mozilla\FireFox\Profiles\pl1gesm3.default\Prefs.js --
/!\ Impossible d'ouvrir le fichier, nettoyage interrompu /!\
-- Fichier Fermé --

Clé supprimée: HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO
Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBHO
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBHO.1
Clé supprimée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Clé supprimée: HKLM\Software\EoRezo
Clé supprimée: HKCU\Software\EoRezo
Clé supprimée: HKCU\Software\SpiderMessenger
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoEngine_is1
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoRezo_is1
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoEngine_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|SpiderMessengerHelper@spidermessenger.com
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|spidermessenger

============== SCAN ADDITIONNEL ==============

-- C:\Users\Membres\AppData\Roaming\Mozilla\FireFox\Profiles\pl1gesm3.default --
Prefs.js - browser.download.lastDir, D:\\_SECRETAIRE
Prefs.js - browser.startup.homepage, hxxp://y.lo.st
Prefs.js - browser.startup.homepage_override.buildID, 20120312181643
Prefs.js - browser.startup.homepage_override.mstone, rv:11.0

========================================

**** Google Chrome Version [19.0.1084.56] ****

-- C:\Users\Membres\AppData\Local\Google\Chrome\User Data\Default --
Preferences - homepage: hxxp://www.google.com/
Preferences - homepage_is_newtabpage: false
Preferences - urls_to_restore_on_startup: hxxp://www.google.com/
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com/
Preferences - homepage_is_newtabpage: false
Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x)
Plugin - "Remoting Viewer" (Activé: true)
Plugin - Native Client (Activé: true) (C:\Users\Membres\AppData\Local\Google\Chrome\Application\19.0.1084.56\ppGoogleNaClPluginChrome.dll)
Plugin - "Native Client" (Activé: true)
Plugin - Shockwave Flash (Activé: false) (C:\Users\Membres\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll)
Plugin - "Java" (Activé: true)
Preferences - urls_to_restore_on_startup: hxxp://www.google.com/

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_ElevationPolicy\{2EEE97E4-259B-4ec9-BC9A-A41F5DD7E282} - C:\Program Files\SmarThru 4\WebSaver.exe (?)
HKCU_Extensions\{5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - "SmarThru4 Web Capture" (C:\Program Files\SmarThru 4\WebCapture.dll,209)
HKCU_Extensions\{A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - "SmarThru4 Sélection par capture" (C:\Program Files\SmarThru 4\WebCapture.dll,210)
HKCU_Extensions\{E753A93F-2367-4978-BFA0-83048C1E61CB} - "SmarThru4 Enregistrer au format HTML" (C:\Program Files\SmarThru 4\WebCapture.dll,208)
HKCU_Extensions\{F1F53366-3E11-47ab-BF84-580C94F9C9AD} - "SmarThru4 Enregistrer le texte sélectionné" (C:\Program Files\SmarThru 4\WebCapture.dll,206)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - "ShowBarObj Class" (C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 70 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/06/2012 17:57:34 (6310 Octet(s))

Fin à: 17:58:26, 17/06/2012

par **Cévévécé** » 17 Juin 2012, 17:16

Et l'étape 2 donne :

# AdwCleaner v1.609 - Rapport créé le 17/06/2012 à 18:09:44
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
# Nom d'utilisateur : Membres - PC-DE-MEMBRES
# Exécuté depuis : C:\Users\Membres\Desktop\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

Arrêté & Supprimé : SafeUpdater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Membres\AppData\Local\combroadcaster
Dossier Supprimé : C:\Users\Membres\AppData\Local\EoJet
Dossier Supprimé : C:\Users\Membres\AppData\Local\safeupdater

***** [Registre] *****

Clé Supprimée : HKCU\Software\EoRezo
Clé Supprimée : HKCU\Software\Headlight
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Combroadcaster]

***** [Registre - GUID] *****

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6001.18000

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v [Impossible d'obtenir la version]

Nom du profil : default
Fichier : C:\Users\Membres\AppData\Roaming\Mozilla\Firefox\Profiles\pl1gesm3.default\prefs.js

C:\Users\Membres\AppData\Roaming\Mozilla\Firefox\Profiles\pl1gesm3.default\user.js ... Supprimé !

Supprimée : user_pref("browser.startup.homepage", "hxxp://y.lo.st");

-\\ Google Chrome v19.0.1084.56

Fichier : C:\Users\Membres\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1526 octets] - [17/06/2012 18:09:44]

########## EOF - C:\AdwCleaner[S1].txt - [1654 octets] ##########

par **Apollo** » 17 Juin 2012, 17:18

Va bene,

1) Télécharger ATF Cleaner par Atribune.

Voir le Fichier : ATF-Cleaner.exe

http://majorgeeks.com/download.php?det=4949

ATF-Cleaner.exe

Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.

Main

Select All

Empty Selected

Si tu utilises le navigateur Firefox :

Firefox

Select All

Empty Selected

NOTE :

No

Si tu utilises le navigateur Opera :

Opera

Select All

Empty Selected

NOTE :

No

Clique Exit, du menu principal, afin de fermer le programme.

---------------------------------------
2) Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau.

http://majorgeeks.com/Malwarebytes_Anti ... d5756.html

http://www.malwarebytes.org/products/malwarebytes_free

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

par **Cévévécé** » 17 Juin 2012, 18:22

J'ai récupéré MBAM, et j'ai commencé à lancer l'analyse, mais l'heure tourne et il faut que je me rentre...
C'est que je ne suis pas d'ici ! :wink:

Il a détecté 6 éléments pour l'instant, je vais suspendre l'analyse et je la reprendrai plus tard...
J'espère que ce n'est pas gênant de procéder ainsi.

Merci encore pour votre aide jusqu'ici, et je vous tiendrai au courant.
A bientôt.

Le rapport partiel, après interruption de l'analyse, donne ceci :

Malwarebytes Anti-Malware 1.61.0.1400
http://www.malwarebytes.org

Version de la base de données: v2012.06.17.06

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Membres :: PC-DE-MEMBRES [administrateur]

17/06/2012 18:41:19
mbam-log-2012-06-17 (19-20-46).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 123445
Temps écoulé: 38 minute(s), 52 seconde(s) [abandonné]

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Aucune action effectuée.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Aucune action effectuée.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoRezoBHO.dll.vir (Adware.EoRezo) -> Aucune action effectuée.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\SpiderMessenger\SpiderMessenger.exe.vir (Spyware.AgenceExclusive) -> Aucune action effectuée.
C:\Program Files\Ad-Remover\Quarantine\C\Users\Membres\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdate.exe.vir (Trojan.Eorezo) -> Aucune action effectuée.
C:\Program Files\Ad-Remover\Quarantine\C\Users\Membres\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe.vir (Trojan.Eorezo) -> Aucune action effectuée.

(fin)

par **Apollo** » 17 Juin 2012, 18:32

Ouaip, il est indispensable de la terminer et de supprimer ce qui est trouvé.

@++

par **Cévévécé** » 17 Juin 2012, 21:12

C'est bien mon intention !
Simplement, les locaux de cette association se trouvent "en province", et les distances s'étirent en fin de week-end en région parisienne, alors que j'avais une échéance horaire à respecter (que j'ai loupée, d'ailleurs)...
Par rapport à l'extrait de rapport publié, j'ai fait "Supprimer" avant de quitter MBAM.

Plus précisément, ma question ce serait : si j’introduis un délai entre les différentes étapes du processus que l'on m'a indiqué, faudra-t-il que je les reprenne une par une ou bien suffit-il que je reprenne là où j'en étais ???

par **Apollo** » 17 Juin 2012, 21:38

On refera des rapports de diagnostic pour vérifier si rien ne s'est repointé.
Mais la première chose est de reprendre l'analyse complète de MBAM.
++

par **Cévévécé** » 24 Juin 2012, 10:16

Re-bonjour ! :hello:

Voici le résultat après un déroulement complet de l'analyse :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.17.06

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Membres :: PC-DE-MEMBRES [administrateur]

24/06/2012 09:57:49
mbam-log-2012-06-24 (09-57-49).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 301153
Temps écoulé: 46 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Saisie des licences 2010 (Adware.180Solutions) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Je comprends qu'il faudrait que je relance certaines des étapes précédentes.
Toutes ? Ou bien uniquement certaines ? Dans ce cas, lesquelles ?

Merci par avance pour votre coopération. :sourire:

par **Apollo** » 24 Juin 2012, 11:35

Bonjour,

ZHPDiag :

Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
Double-clique sur ZHPDiag.exe pour lancer l'installation
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
Double-clique sur ZHPDiag pour lancer l'exécution
Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
Tu refermes ZHPDiag
Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
Ce rapport étant trop long pour le forum, héberge le :
- soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
- soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
- http://www.sendspace.com/ copier/coller le tout premier lien fourni.

@++

par **Cévévécé** » 24 Juin 2012, 12:04

Bonjour Apollo,
Merci pour ta réponse.
Ci-joint le résultat d'une nouvelle analyse ZHPDiag.

par **Cévévécé** » 24 Juin 2012, 12:23

Je suis un peu surpris que le PC en question soit toujours en train de mouliner...
La loupiote d'accès au disque est presque allumée en permanence.
Au niveau du gestionnaire des tâches j'ai ceci :
http://cjoint.com/?3Fynv20EX2L