Depuis que j'ai installé Kis 2010 sur ma machinne (XP Home), Firefox ne se lance plus ou quand il se lance mes pages restent blanches comme si la connexion vers les pages Web était bloquée.
Quand quitte Kasperski Internet Sécurity 2010 (je clique sur le K en bas à droite de mon écran) Firefox fonctionne parfaitement.
Je réussi à le lancer en mode protégé (entouré de vert).
Mais je souhaiterais utiliser Firefox comme avant en mode normal.
Y a t'il un réglage ou une configuration de Kis 2010 qui m'échappe?

Bonjour (ou bonsoir), ça mange pas de pain....

Dans KIS2010\ Sécurité Etendue\ Applications Exécutées en Environnement Protégé:

Supprimer "Firefox" et ce dernier fonctionnera en mode normal.

A+

Si je ne mets pas firefox dans la partie Applications Exécutées en Environnement Protégé, il ne fonctionne pas.
J'ai été obligé de l'ajouter moi même dans cette partie.

Quelqu'un a t'il une solution à me proposer?
Dois je changer de navigateur?

Oui ^^
Désinstaller Firefox et le réinstaller.

Salut,

Si vous laissez Firefox en "Environnement Protégé" cela ne signifie pas que vous êtes vulnérables,
car les fichiers téléchargés seront toujours analysés via la protection antivirus.

Berny +++

Bonjour et merci d'essayer de m'aider à résoudre mon problème,

J'ai bien compris que l'environnement protégé me permettait de naviguer sans crainte , mon problème est : pourquoi Kis 2010 semble bloquer le téléchargement de mes pages Web lorsque j'utilise Firefox en mode normal ou en mode sans échec?
Je viens de découvrir (par hasard) que je pouvais me connecter à ma banque pour consulter mon compte avec Firefox en mode normal mais c'est la seule page qui passe! Toutes les autres affichent une page blanche et point final..
Est ce par ce que cette page Web (ma banque) est protégée et sécurisée? et que Firefox considère les autres sites comme peu fiables?

Bien sur si je mets Firefox en mode protégé, tout fonctionne, je peux aller sur les sites que je veux!!
Mais je dois tout télécharger dans le répertoire "dossier partagé de la Sandbox" et j'ai l'impression que cela ralenti mes connexions!!

Je travaillais avant avec Nod32 comme Anti Virus et Firefox 3.5 et je n'ai jamais eu ce problème. Sauf que Nod32 me semblait moins performant que Kis 2010, alors j'ai acheté Kis 2010.
Seulement Kis 2010 est tellement performant (?) ou plus surement tellement mal configuré sur ma machine (honte à moi) qu'il bloque tout.

Je suis en contact avec le support Kaspersky et j'attends qu'ils me secourent..... mais si quelqu'un sur ce forum peut m'aider je suis preneur
Merci d'avance

Salut,

Je veux rester très prudent mais il se pourait que votre problème soit décrit dans le topic suivant :

http://support.kaspersky.com/kis2010/tech?qid=208280432 (version uk)

Une seconde opinion de la part d 'un moderateur serait bienvenu ....

Berny +++

Je n'ai pas osé essayer, si quelqu'un confirme que cela pourrait m'aider!!! Cela fait 3 jours qu'on echange des mails avec le support et ils n'arrivent toujours pas à comprendre ni à corriger l'erreur.
J'ai essayé les 3 navigateurs courants (Ie8, Firefox et Opéra) ils ont tous été bloqués par Kis 2010 : impossible de se connecter à une page Web, sauf celles trés sécurisés (ma banque par exemple).

Je commence à m'inquiéter!!!

Salut,

Je comprends vos hésitations.
Le support de Firefox publie égallement un topic concerant le problème "FF3.5 vs KIS2010".
http://support.mozilla.com/en-US/kb/Config...ternet+Security

En plus FF 3.5 n'accepte plus les CA auto-signés ce qui complique manifestement le problème
et ce qui signifie aussi que Kaspersky n 'est pas uniquement en cause ...

Avant d'agir i faudrait l'intervention d'un moderateur
Pouriez-vous poster un rapport Gsi.

Berny +++

Ou à défaut, du Support Technique

Je vous envoie un rapport GSI établi avec ma connexion internet active et Firefox actif en mode protégé

bonsoir,
eh bien on peut dire que c'est pas trés engageant

- carte réseau a mettre a jour
- fichier host de spybot encore présent sur le pc
- 42 inconnus trouvés
- 1 infection potentielle

=> code rouge

vous avez la possibilité d'analyser par vous même....je suis malheureusement absent toute la soirée, je ne peux vous aider

en cliquant sur les lignes de cette page ci dessous vous avez la possibilté de régler le soucis en partie
pour la potentielle infection......il faudrait que thierry ou Degano passe...ou alors attendre mon retour cette nuit

votre rapport

http://www.getsysteminfo.com/read.php?file...c160e08934d3529

cordialement

juste avant que je parte...

appliquer cette procédure s'il vous plait (cliquez dessus c'est un lien) la partie CCleaner,MalwareBytes et Hijackthis=> autoriser Malwarebytes par KIS qui va crier

Pré-nettoyage PC infecté

ensuite mettez votre carte réseau a jours en cliquant sur le lien de mise a jour (voir ci dessous le lien de mise a jour => choisir votre OS et cliquez sur GO en face du choix)

Mise a jour carte réseau

je repasse cette nuit ou demain matin

cordialement

Bonsoir Australien & Thierry

J'arrive à l'instant !
Merci de vous joindre à ce "thread".

Je remarque aussi que le fichier "Hosts" est modifié.
Je suggère de recharger le fichier Hosts Windows original.
J'ai eu personnellement un sérieux problème a ce niveau avec KAV2010 ....

Je repasserai aussi demain matin ... Bonne nuit ;-)

Berny +++

ps : aussi désinstaller les anciennes versions Java

Bonsoir à tous,

berny fais ceci pour que nous puissions avoir une lecture du fichier hosts, merci


On peut également accéder directement au fichier host :

- copier la commande suivante :
notepad %windir%\system32\drivers\etc\hosts
- menu Démarrer, Exécuter...,
- coller la commande.

Le Bloc-notes s'ouvre avec le fichier hosts

Coipe colle ensuite le fichier hosts, deplus le fichier accelerator.dll semble trés litigieux

labougie

hello labougie, berny

un rapide passage....du pc de ma copine

c'est le fichier host de spybot...je lui ai précisé plus haut....je lui rétablirai son host originel avec Rhost (labougie connais)
pour les versions de java obsolétes...on verra cela a la fin

accelerator.dll est dans les fichiers temps...CCleaner va le shooter

laissons notre ami poster les rapports demandés et nous verrons ensuite

labougie je connais tes compétences en désinfection, donc si la réponse arrive avant mon retour demain matin, prend la suite

je vous laisse....la copine attend

Bonjour labuse,

comme je disais précedemment

=> il y une infection plus que potentielle ! il semblerai même que FireFox soit infecté
=> il vous reste le fichier host d'une installation/désinstallation de spybot (je vous remettrez votre host windows originel)
=> votre carte réseau n'est pas a jour
=> vous avez des versions obsolétes de java en plus de celle actuelle la 6u14
=> votre rapport GSI montre des programmes inconnu de l'outil pour certain ils sont légitimes et d'autres il faudra que nous fassions des recherches

Donc pour faire le mênage et y voir plus clair vous allez effectuer une procédure de pré-désinfection de pc
Je vous demanderez de suivre scrupuleusement les consignes s'il vous plait, c'est le gage de notre réussite
appliquer cette procédure s'il vous plait (cliquez dessus c'est un lien)
aidez vous en copiant les procédures dans un fichier texte ou en imprimant

Pré-nettoyage PC infecté

A => dans cette procédure vous téléchargez et installez:

- CCleaner qui va faire le mênage dans vos dossier temporaires Windows et utilisateur (aprés l'installation, fermez le programme)
- Malwarebytes qui est un anti-malwares trés efficace (aprés l'installation, lancez une mise a jour du programme et fermez le)
- Hijackthis qui est un programme d'analyse du pc qui va lister l'ensemble de votre pc ( aprés l'installation,fermez le programme)

faites tout vos téléchargement dans la sandBox puisque vous pouvez seulement avoir le mode protégé, mais il est impératif de basculer les programmes d'installations sur votre bureau et de les installer sans changer le chemin d'installtion par défaut qui est C, votre partition système)
Note=> il se peut que l'infection soit tellement avancé que les processus d'installations soit bloqué, dans ce cas là nous renommerons les programmes afin de tromper les malwares

B =>aprés l'installation des programmes et la mise a jour de Malwarebytes, redémarrez en mode sans echec comme indiqué sur le lien précédent, le mode sans echec va nous permettre de bloquez et/ou réduire les processus des virus:

- effectuez le nettoyage avec CCleaner
- effectuez une analyse compléte avec malwarebytes

=> ensuite

- redémarrez en mode normal, pour cela aprés les analyses il suffit de redemarrer le pc normalement
- lancez Hijackthis comme indiquez sur le lien pour une analyse du pc

C => quand tout ceci est fait

- postez moi les rapports de malwarebytes et Hijackthis

Enfin, et seulement aprés mon feu vert nous mettrons a jour votre carte réseau, reinstallerons votre fichier hots Windows et supprimerons les versions obsolétes de Java

voila tout ceci vous semble fastidieux mais je suis sur que vous allez y arriver, aidez vous en copiant les procédures dans un fichier texte ou en imprimant, ceci pour avoir tout les détails quand vous serez en mode sans echec, car vous n'aurez plus accés au réseau pendant ce laps de temps

N'hesitez pas a me faire part des problêmes rencontrés ainsi que de vos questions, je suis là pour vous aidez....et je n'abandonne jamais, surtout quand c'est un confrére Kasperskien

Bonne réception et a vous lire

votre sujet et dans mes suivis en alerte mail "immédiate"

petite précision.....je part au boulot, de retour a 12h....bon courage

J'ai suivi trés exactement la procédure que vous m'indiqiez et je vous poste les rapports suivants :
1- un rapport malwarebytes avant désinfection et un autre aprés
2- Le rapport Hijackthis

En tout cas merci pour votre aide (à vous et à tous ceux qui sont intervenus sur ce forum)
J'attends vos commentaires sur ces rapports

un bref passage, je suis au boulot

vous comprenez pourquoi maintenant il y a infection
ceci plus le rogue antivirus pro....

virez moi tout ceci si toujours présent......le ver worm, vous ne faites pas dans la dentelle vous.....

on a encore du travail avec Hijackthis (la présence de deux lignes me dérangent).....je reviens a 12h, je regarderais cela plus profondemment et vous donnerez la suite, dans l'immédiat coupez le pc jusqu'a cette heure


c:\WINDOWS\system32\systemx86\229.crack.zip (Worm.Archive) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\systemx86\229.crack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\systemx86\230.keygen.zip (Worm.Archive) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\systemx86\230.keygen.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\systemx86\231.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\systemx86\231.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.

j'ai un petit breack de 15 mn

allez faire analyser cette .dll en gras par Virustotal et postez moi le résultat

Aide pour analyse VirusTotal


C:\WINDOWS\System32\ctl3d3232.dll



a vous lire...

Superbe boulot Australien !

Berny +++

hello berny,
c'est loin d'être fini crois moi.....

j'ai embarqué mon portable au boulot....
si le demandeur est serieux dans le suivis, ce soir c'est Ok

Car j'ai demandé
=> un scan complet de malwaresbytes, et j'ai un scan rapide
=> le vidage des dossiers temps et regarde, c:\documents and settings\Labuse\local settings\Temp\....les détections sont pour la plupart dedans

comme tu peux voir, l'infection vient de Crack et keyggen
@+

bonjour,
voila je suis chez moi et nous pouvons continuer....si vous le desirez!!!
j'attend votre rapport virustotal, même si j'ai déja mon idée sur la chose...
je préfére vous prévenir si vous voulez vraiment vous débarrasser des soucis il faut agir...
de plus etant surement dans le territoire de la réunion, les décallages horaires sont contre nous
si vous ne souhaitez pas continuer dites moi le!!!
et je vous en prie respecter les procédures données

a vous lire

Bonjour à tous,

Juste pour souligner des petites choses très importantes :

Les infections sont propagées par les cracks et les keygens et autres moyens de contournements.

Ensuite il y a les les faux logiciels ( les rogues ).

Vous voici un peu de lecture => liste des rogues connus ( lien anglophone mais les noms sont les bons )

Ici exemple du rogue QUAD Registry => malekal

Faite une bonne lecture de ces liens, sans madération.

Je vous laisse avec l'Australien.

Suivez bien ces conseils, passez Ccleaner et faite une analyse complète avec Mbam

labougie

labougie..trés bon conseil....
j'ai préparé une procédure qui devrais nous débarrasser des dernieres traces du ver....

tu me connais, je lacherai rien....j'ai pris des infos auprés de philbz, je tiens le bon bout...mais il faut agir rapidement sinon c'est foutu, l'infection va gagner du terrain et je pourrais plus rien
je te laisse, je vais manger un bout
@+ mon ami
edit...de plus labuse est là, je le vois en ce moment

Titre du topic modifié + sujet déplacé

merci thierry...cool le titre

si notre ami reviens...je sent bien un kaspersky cracker

C:\WINDOWS\system32\avp.id

labuse vous étes encore là....il faut agir sinon je vous laisse tomber...c'est sur

@+

Je ne suis pas un kaspersky cr

Ok alors ou en êtes vous du rapport virus total demandé..cela prend 5 mn...
si dans une heure c'est toujours pareil...je vous abandonne

Je ne suis pas un kaspersky cracker, ma licence est achetée. Oui, j'ai desesperemment cherché un logiciel cracké et je m'en mors les doigts maintenant.
Je vous envoie le rapport de Virustotal sur ctrl3232.dll
et je fais une analyse totale a&vec malwarebytes.
Je reposte aprés.


Fichier ctl3d3232.dll reçu le 2009.07.30 10:29:42 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/40 (12.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 50 et 71 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 TR/Dldr.Tracur.B.5
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 Trojan.DownLoad.40865
eSafe 7.0.17.0 2009.07.29 Suspicious File
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 Trojan.Dldr.Tracur.B.5
Microsoft 1.4903 2009.07.30 TrojanDownloader:Win32/Tracur.B
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 121344 bytes
MD5...: a106351d0da9ec4c35f613d701d45802
SHA1..: 2364e839486947ed484ca9e427c95faaedca755b
SHA256: 29d10b998832398dd349519729bbf95bc81dd83244830de948b11bc84366ceff
ssdeep: 3072:8FXsvPEl9hJ6ld8EPa4oUS8RzqXipp7l0bqgdT1k:6XOPElJw7a7JGx6T
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ba17
timedatestamp.....: 0x48522283 (Fri Jun 13 07:32:19 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x1aa74 0x1ac00 7.97 c01129dad45a1654e718c8e59ca27fca
DATA 0x1c000 0x3fc6 0x600 3.90 9ba92f77ced9357718e4bf91739a7c9d
BSS 0x20000 0xfcb 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x21000 0x9d1 0xa00 4.68 593ecfff20924d94c11cee3b5e963920
.reloc 0x22000 0x19d8 0x1a00 6.66 6a41a76109fc54e4e96e649a9087dcc7

( 9 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc
> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetOEMCP, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

Bien sur que je veux continuer! Et merci

Ok...je vous attend...
cela va prendre du temps avec 250 Go de stockage....
a plus tard

je viens d'editer...excusez moi

a faire malwarebytes scan complet et CCleaner

Je vais éteindre ma machine et recommencer une analyse complète avec malwarebyte en mode sans echec
Je me reconnecte dés que c'est fait et je vous poste le rapport

Pour ce qui est de mes fichiers temp, j'ai executé CCleaner comme vous me l'avez demandé.

A plus

pas de problême, je prépare la suite

Voila et merci pour votre patience
Je vous envoie
1- le full scan de malwarebytes (mais il n'y a plus aucun fichier infesté aprés le scan rapide que j'ai fais la premiere fois?!)
2- Un nouveau rapport hijackthis

Pour le fichier ctrld3232.dll : ne m'avez vous pas demandé celui qui est dans windows\system32\ctrld3232.dll
C'est en tout cas celui que je vous ai envoyé.

Merci encore

Ok...je viens de passer une bonne heure a chercher cette foutue dll....et j'ai trouvée
elle est malicieuse....elle change de nom régulierement et la derniere fois je la trouve sur un forum allemand et autre norvégien en date du 17 juillet
donc on va la shooter, d'autant plus qu'elle n'est pas réferencée dans les dll legitimes
j'attend vos rapport et je vous donne la suite

mes recherches

un exemple

Excusez moi pour mes maladresses
J'ai oublié d'envoyer les piéces jointes :
Les voilà !

j'analyse donnez moi une dizaine de minutes
@+

Très important

comme je ne travaille pas sans filet et que le pc est pratiquement sain, il vaut mieux avoir un point de restauration


Allez dans le Menu Démarrer puis dans Programmes
Ensuite dans Accessoires et enfin dans Outils système
Choisissez Restauration du système
Sélectionnez Créer un point de restauration
Cliquez sur Suivant
Entrez un nom pour le point de restauration : ce nom doit être assez évocateur (ex : avant procédure australien)
Cliquez sur Créer et le point de restauration se créé automatiquement.






1)Pour désinstaller cette dll pourrie

cliquez sur démarrer et ensuite exécuter et copiez-collez (pour éviter une erreur de frappe) dans la fenêtre ouverte :

regsvr32 /u ctl3d3232.dll





Si l'opération s'est bien déroulée vous devez voir apparaître un accusé de bonne fin sinon vous obtenez un message d'erreur avec un code erreur.


2) Ensuite rechercher le chemin complet

Sur votre système, utiliser simplement l'explorateur de Windows pour localiser le composant.
Taper alors son chemin complet et supprimer ce qui est en gras: C:\WINDOWS\System32\ctl3d3232.dll

3) Enfin vider votre poubelle (important)


4)Aprés on va utiliser Hijackthis

Fermez tous les programmes ouverts y compris votre navigateur, sauf votre anti-virus et pare-feu !
Lancez HijackThis
Cliquez sur "Do a system scan only"
Cochez les lignes suivantes si toujours présentes :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {60270dc7-9ea0-472f-9b77-66652c06246e} - (no file)
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - (no file)
O3 - Toolbar: (no name) - {60270dc7-9ea0-472f-9b77-66652c06246e} - (no file)
O20 - Winlogon Notify: 30accf96609 - C:\WINDOWS\
O20 - Winlogon Notify: 30accf96648 – C:\WINDOWS\System32\ctl3d3232.dll


Cliquez sur "Fix Checked"
Relancez HijackThis et postez le rapport généré

Aide en images


5) Allez faire analyser cette .dll en gras par Virustotal et postez moi le résultat


Aide pour analyse VirusTotal


C:\WINDOWS\Temp\SAINST\Accelerator.dll


=> Vous aurez donc deux rapports a poster.....ensuite on désinstalle Firefox et on reinstallera

J'ai réussi à faire mon point de restauration. Il s'applelle "avant Autralien". A noter que ma restauration système n'était pas activée ?!

Mais j'aieu des problémes ensuite :
1- Quand j'ai copié "regsvr32 /u ctl3d3232.dll dans "executer" j'ai effectivement eu un message d'erreur : Le voici :
ctl3d3232.dll a été chargée mais le point d'entrée DllUnregisterServer est introuvable. Ce fichier ne peut être enregistré.
J'ai quand même cliqué sur OK

Mais aprés :
vous me dites de chercher le fichier ctl3d3232.dll avec explorer. OK
Puis de
"Taper alors son chemin complet et supprimer ce qui est en gras: C:\WINDOWS\System32\ctl3d3232.dll"
Je tape cd chemin complet où?
Excusez moi mais ce ne sont pas des procédures habituelles pour moi

J'ai essayé de supprimer la dll dans system32 mais mon PC refuse de le faire
Merci de me guider

Donc je viens de relire votre post et ne tenez pas compte de la deuxième remarque : j'ai essayé de supprimer ctl3d3232.dll (click droit souris).

Donc je viens de relire votre post et ne tenez pas compte de la deuxième remarque : j'ai essayé de supprimer ctl3d3232.dll (click droit souris).
mon PC refuse de le faire

Ok

redemarrez en mode sans echec...vous allez dans le chemin suivant

C:\WINDOWS\System32\ctl3d3232.dll"

supprimez ce qui est en gras....si pas possible, renommez du clic droit "renommer" et il faut que vous la renommiez comme ceci

ct3d3232.dll.old et ensuite supprimer

si le renommage est la suppression ne sont pas possible....

lancer malwarebytes dans les onglets superieurs, vous allez trouvez un module qui s'appelle File Assasin vous le lancez et donnez le chemin de la dll, et cliquez sur supprimer

fileAssasin se trouve dans autres outils

OK je fais ça. En attendant voila le rapport pour la dll accelerator.dll (c'est une dll de speedbit)
Fichier Accelerator.dll reçu le 2009.07.30 13:42:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/39 (5.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 61 et 87 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.30 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1813 2009.07.30 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.07.30 -
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 Artemis!9D44565B25F4
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.30 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.34.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.30 -
Information additionnelle
File size: 1095272 bytes
MD5...: 9d44565b25f4f36ec14f0e04043f7f81
SHA1..: 03af7aefcf0c00afb06835a6f64311ea12c21928
SHA256: 88d592985de8cc0ec4cc53498faf076972ab70d0ef3af522776a64aee70f5ce0
ssdeep: 24576:4Nxk2WswG7kzfSY4kI7qMAq2aGUcd75zdzSOj:4o7qA7/q8q3GUcd75zdz
Ss
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6abb3
timedatestamp.....: 0x4874bd81 (Wed Jul 09 13:30:41 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc2aa2 0xc3000 6.55 79ec2caa9bb25375177357e614bb810a
.rdata 0xc4000 0x18399 0x19000 4.41 70052b6de6c17dd7f6984e8575d35421
.data 0xdd000 0x2075c 0x1f000 5.61 ae1634f9743d3ee20c5e172cad3e551c
.rsrc 0xfe000 0x3e8 0x1000 1.04 6d66c3b98128549351876c1fcd5b96f7
.reloc 0xff000 0xc2b2 0xd000 6.07 dbbd5b2a8cd57f5f34d79a970bc119d7

( 11 imports )
> KERNEL32.dll: MoveFileExA, GetLocalTime, GetCurrentDirectoryA, CreateProcessA, WaitForMultipleObjectsEx, GetFullPathNameA, SetFilePointer, GetDriveTypeA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, CreateDirectoryA, lstrcatA, OutputDebugStringA, lstrlenA, SystemTimeToFileTime, FormatMessageA, LocalFree, GetComputerNameA, FlushFileBuffers, TerminateProcess, GetModuleHandleA, GetEnvironmentVariableA, SetConsoleCtrlHandler, GetProcessHeap, HeapAlloc, HeapFree, CreateToolhelp32Snapshot, Process32First, OpenProcess, Process32Next, GetShortPathNameA, GetFileSize, ReadFile, WriteFile, GetTempFileNameA, DeleteFileA, MultiByteToWideChar, GetTickCount, WaitForMultipleObjects, CreateThread, TerminateThread, GetCurrentThreadId, DeviceIoControl, CreateFileA, WaitForSingleObject, CreateEventA, GetProcAddress, FreeLibrary, LoadLibraryA, ResetEvent, GetVersionExA, OpenEventA, GetModuleFileNameA, CloseHandle, SetEvent, InterlockedExchange, Sleep, GetLastError, InterlockedDecrement, EnterCriticalSection, InterlockedIncrement, LeaveCriticalSection, DeleteCriticalSection, FindFirstFileA, InitializeCriticalSection, GetExitCodeThread, ExitThread, GetSystemDirectoryA, FindResourceA, LoadResource, LockResource, SizeofResource, GetLocaleInfoW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, UnhandledExceptionFilter, SetCurrentDirectoryA, IsBadCodePtr, SetEndOfFile, SetStdHandle, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetStdHandle, SetHandleCount, WideCharToMultiByte, GetOEMCP, GetACP, GetCPInfo, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetCurrentThread, TlsGetValue, SetLastError, TlsFree, TlsAlloc, TlsSetValue, FatalAppExitA, HeapSize, HeapReAlloc, GetFileType, GetVersion, GetCommandLineA, GetCurrentProcess, ExitProcess, GetSystemTime, GetTimeZoneInformation, IsBadReadPtr, RaiseException, RtlUnwind, GetUserDefaultLangID, GetTempPathA, GetFileAttributesA, lstrcpyA
> USER32.dll: GetProcessWindowStation, RegisterClassA, CreateWindowExA, GetMessageA, TranslateMessage, DispatchMessageA, UnregisterClassA, OpenWindowStationA, DestroyWindow, PostMessageA, GetSystemMetrics, SetUserObjectSecurity, GetUserObjectSecurity, wsprintfA, DefWindowProcA, SetProcessWindowStation, OpenInputDesktop, OpenDesktopA, CloseDesktop, CloseWindowStation, SendNotifyMessageA, GetDesktopWindow, FindWindowA
> ADVAPI32.dll: RegEnumKeyExA, RegDeleteValueA, RegSetValueExA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, SetServiceStatus, QueryServiceStatus, AllocateAndInitializeSid, RegNotifyChangeKeyValue, RegOpenKeyExA, RegQueryValueExA, AddAccessAllowedAce, GetSecurityDescriptorDacl, GetAclInformation, InitializeAcl, AddAce, GetAce, DuplicateTokenEx, CreateProcessAsUserA, LookupPrivilegeValueA, AdjustTokenPrivileges, GetLengthSid, CopySid, LookupAccountNameW, FreeSid, IsValidSid, RegOpenCurrentUser, GetUserNameA, RevertToSelf, ImpersonateLoggedOnUser, GetTokenInformation, OpenProcessToken, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, ControlService, StartServiceA, DeleteService, OpenSCManagerA, OpenServiceA, ChangeServiceConfigA, CreateServiceA, CloseServiceHandle, RegOpenKeyA, RegEnumValueA, RegCloseKey, RegCreateKeyExA, RegEnumKeyA, RegQueryValueA, RegDeleteKeyA, RegQueryInfoKeyA
> SHELL32.dll: ShellExecuteA
> ole32.dll: CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> USERENV.dll: UnloadUserProfile, LoadUserProfileA, CreateEnvironmentBlock, DestroyEnvironmentBlock
> PSAPI.DLL: EnumProcesses, EnumProcessModules, GetModuleBaseNameA
> WININET.dll: InternetOpenUrlA, InternetCloseHandle, HttpQueryInfoA, InternetGetConnectedState, InternetOpenA, InternetQueryOptionA, InternetConnectA, InternetReadFile, InternetCrackUrlA, HttpSendRequestA, HttpAddRequestHeadersA, InternetSetOptionA, HttpOpenRequestA
> WS2_32.dll: -, -, -, -, -, -, -, WSAEventSelect, -, -, -, -, -, -, -, -, WSASend, WSARecv, WSAGetOverlappedResult, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 2 exports )
CreateILoader, ReleaseILoader
PDFiD.: -
RDS...: NSRL Reference Data Set

Je me débarasse de la Dll pourrie (ctl3d3232), et je suis le reste de votre procédure
Je vous posterais ensuite le rapport hijackthis
A dans quelques minutes

Ok...celle là on touche pas

mais je vous avoue que l'on joue mes dernieres cartes pour l'autre

Grâce à Malwarebytes j'ai pu enlever ctl3d3232.dll de mon PC. Mais ça a été difficile car la dll ne voulait ni se renommer ni se supprimer en mode sans echec et meme avec malwarebytes et file assassin il a fallu que je reboote la machine deux fois pour y arriver.
Mais elle n'existe plus dans system32
Je joins donc le dernier rapport hijackthis (j'ai fais exactement ce que vous m'avez demandé avant avec hijackthis)
En espérant.....